文章详情
帆软(FineReport)V9任意文件覆盖漏洞
日期:2021/5/25 17:51:58
漏洞简介
该漏洞是在近期HVV中被披露的,由于在初始化svg
文件时,未对传入的参数做限制,导致可以对已存在的文件覆盖写入数据,从而通过将木马写入jsp文件中获取服务器权限。
影响范围
- WebReport V9
# 漏洞分析
fr-chart-9.0.jar
包中com.fr.chart.web/ChartSvgInitService
类传递op
参数的值svginit
:
漏洞主要出现在fr-chart-9.0.jar
包中com.fr.chart.web/ChartSaveSvgAction
类,通过cmd
参数传递design_save_svg
命令,利用filePath
参数传递需要初始化的svg
文件,将filePath
参数传入的字符串中chartmapsvg
及后边的所有字符串拼接到WebReport
目录下“WEB-INF/assets/”
之后,如果生成的字符串中包含.svg就会创建该文件,然后将var7
的内容写入创建的文件。如果不包含.svg就会递归创建该目录,即传入的是jsp等非svg
文件就会创建目录无法写入数据,但如果是存在的jsp文件,就可以覆盖文件内容。整个过程直接进行字符串拼接,未过滤“../”
因此可以利用路径穿越漏洞在任意可写位置创建文件或覆盖jsp文件内容。
跟踪getInputStream
方法可见,通过__CONTENT__
参数传递文件内容即可:
# 漏洞利用
由于WebReport V9在安装之后在WebReport目录下存在update.jsp
和update1.jsp
,因此可以构造payload直接覆盖这两个文件的内容,从而GetShell。构造如下Payload覆盖update.jsp文件内容:
访问update.jsp,成功覆盖内容:
将文件内容替换为冰蝎木马,需要将双引号转义:
通过冰蝎成功连接服务器:
# 修复方法
严格过滤filePath参数的值,或使用路径和文件后缀白名单,删除默认update.jsp和update1.jsp页面,升级FineReport到最新版。
# 批量漏洞检测工具
https://github.com/NHPT/WebReportV9Exp/
上一文章:记一次艰难的溯源故事(对不起学长)
下一文章:Vulnstack内网靶场渗透记录
相关推荐
- 10-21探索Mimikatz-第2部分-SSP
- 10-21CouchbaseServer与N1QL注入
- 10-22AbusingWindowsPhysical
- 10-21Windows下常见的内核溢出提权
- 10-21cve-2020-2555OracleCoherence
- 08-11快速找到qq历史头像
- 10-21通过命名空间混淆实现突变XSS-DOMPurify
- 05-28利用HOSTS碰撞突破边界
- 10-27某nc反序列化回显绕过
- 05-26.net反序列化之XmlSerializer
- 05-26某OA接口绕过后任意文件上传分析
- 10-26使用VueJS脚本小工具规避防御
- 05-25记一次艰难的溯源故事(对不起学长)
- 10-20SEO网站推广计划怎么做?如何挑选关键词?