小风福利公众号
最新文章
热门文章
文章详情
帆软(FineReport)V9任意文件覆盖漏洞
日期:2021/5/25 17:51:58
漏洞简介
该漏洞是在近期HVV中被披露的,由于在初始化svg
文件时,未对传入的参数做限制,导致可以对已存在的文件覆盖写入数据,从而通过将木马写入jsp文件中获取服务器权限。
影响范围
- WebReport V9
# 漏洞分析
fr-chart-9.0.jar
包中com.fr.chart.web/ChartSvgInitService
类传递op
参数的值svginit
:
漏洞主要出现在fr-chart-9.0.jar
包中com.fr.chart.web/ChartSaveSvgAction
类,通过cmd
参数传递design_save_svg
命令,利用filePath
参数传递需要初始化的svg
文件,将filePath
参数传入的字符串中chartmapsvg
及后边的所有字符串拼接到WebReport
目录下“WEB-INF/assets/”
之后,如果生成的字符串中包含.svg就会创建该文件,然后将var7
的内容写入创建的文件。如果不包含.svg就会递归创建该目录,即传入的是jsp等非svg
文件就会创建目录无法写入数据,但如果是存在的jsp文件,就可以覆盖文件内容。整个过程直接进行字符串拼接,未过滤“../”
因此可以利用路径穿越漏洞在任意可写位置创建文件或覆盖jsp文件内容。
跟踪getInputStream
方法可见,通过__CONTENT__
参数传递文件内容即可:
# 漏洞利用
由于WebReport V9在安装之后在WebReport目录下存在update.jsp
和update1.jsp
,因此可以构造payload直接覆盖这两个文件的内容,从而GetShell。构造如下Payload覆盖update.jsp文件内容:
访问update.jsp,成功覆盖内容:
将文件内容替换为冰蝎木马,需要将双引号转义:
通过冰蝎成功连接服务器:
# 修复方法
严格过滤filePath参数的值,或使用路径和文件后缀白名单,删除默认update.jsp和update1.jsp页面,升级FineReport到最新版。
# 批量漏洞检测工具
https://github.com/NHPT/WebReportV9Exp/
上一文章:记一次艰难的溯源故事(对不起学长)
下一文章:Vulnstack内网靶场渗透记录
相关推荐
- 11-09思路分享:windows权限维持场景中如何隐藏服
- 10-20懒惰使人进步:探索与发现的思维
- 05-14session与cookie的区别和联系
- 10-21CVE-2020-5405SpringCloudConfig路径穿越漏
- 05-31巧用smb拿下不出网主机
- 10-21从报错信息泄露到使用ECS接口执行命令反弹s
- 10-21极限环境使用certutil PowerShell配合Burp快
- 05-13JavaAgent从入门到内存马
- 10-21渗透测试之信息收集
- 10-21ZeroLogon(CVE-2020-1472)分析与狩猎
- 05-11面向协议编程依赖什么原则(与面向对象编程的
- 05-10NUAACTF2021Easy_XSS复现
- 05-26某OA接口绕过后任意文件上传分析
- 05-08记一次对Tp二开的源码审计(Php审计)