freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

从Goby Poc标题反推金和OA 1day漏洞
2024-04-19 14:24:50

一、前言

闲来无事,在用Goby写poc时候咨询了Goby的师傅,发现能对历史漏洞查重(查看Goby收录了什么漏洞,以免你写poc重复),但是这个功能还有另外的妙用,可以拿来配合漏洞复现。

例如查询关键字金和,可以查看收录的金和oa漏洞。而漏洞名称是以产品-漏洞触发点-漏洞类型命名的,结合代码审计可以反推漏洞。

二、思路历程

漏洞一号

看收录时间,2024年收录了4个金和oa漏洞,其中金和oa C6的漏洞占3个,第一个漏洞全网都不到poc

来看第一个标题

挺实诚的路径都告诉你了:“/C6/Jhsoft.Web.module/eformaspx/H5Bill.aspx"

看下H5Bill.aspx文件,显示继承了方法WebBill.WebBill

findstr搜索一下方法名称所在dll文件

这个名称为H5Bill的方法

作用是读取xml文件信息然后查询数据库信息,没有上传文件的地方,暂时放弃

但是根据我一顿互联网的搜索排查,我找到了某个Wiki上记载的/C6/Jhsoft.Web.module/eformaspx上传路径

1713495656_6621de6863c3f3c1db1d6.png!small?1713495661001

写的很简略,来分析下。首先漏洞位置为editeprint.aspx,方法中传参KeyCode,并转换url编码

之后传参filename,如果解码KeyCode之后和filename不一致,则报错文件不匹配

像这样的情况,filename随便写就会报错文件不匹配

1713507861_66220e15ebe09eafc9545.png!small?1713507864689

之后调用returnXml方法,带入参数为传参的值key

1713496517_6621e1c52f2fca2b311bc.png!small?1713496517768

如果key等于writefile,则调用writefile方法

1713496571_6621e1fb9417b209c2913.png!small?1713496577470

写入内容到文件中,在文件开头加入了<?xml version="1.0" encoding="gb2312"?>

1713496625_6621e2317b7daf6f5a100.png!small?1713496626658

用Wiki中的Payload来测试下:

GET /C6/Jhsoft.Web.module/eformaspx/editeprint.aspx?key=writefile&filename=1.ashx&KeyCode=sxfZyQBw8yQ=&designpath=/c6/&typeid=&sPathfceform=./ HTTP/1.1
Host: X.X.X.X

123

返回显示长度不小于0

1713496267_66

# 漏洞 # 渗透测试 # web安全 # 漏洞分析 # 网络安全技术
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录