微信公众号:渊龙Sec安全团队
为国之安全而奋斗,为信息安全而发声!
如有问题或建议,请在公众号后台留言
如果你觉得本文对你有帮助,欢迎在文章底部赞赏我们
漏洞概述
漏洞名称:铭飞CMS任意文件上传漏洞
漏洞编号:CVE-2022-31943/CNVD-2022-48629
CVSS 3.x 评分:9.8
注:这是团队成员橙天挖到的原创漏洞,发布的漏洞分析报告仅供大家参考学习,严禁违法进行未授权渗透!
代码分析流程
铭飞CMS官网:https://gitee.com/mingSoft/MCMS
把源码考下来之后经过审计找到上传点,form.ftl这里有个文章缩略图上传点看看他有没有做过滤然后根据action找到上传接口
经过查找在FileAction.class这里只判断了../防止目录跳跃,继续往下看点击继承的那个类
BaseFileAction.class发现他这做了后缀判断,接着看是在哪调用的过滤
复制denied进行全局搜索,application.yml发现他是在配置文件里写了过滤
过滤了.exe,.jsp,.jspx,.sh这些后缀名,说明除了这四个其他均可上传
看看他有没有可利用的接口来实现上传jsp,经过查找TemplateAction.class里有个专门解析zip的接口
那么结合上面的过滤,可以构造以下利用链:上传zip,可以通过zip包含jsp恶意文件上传,然后调用这个接口去解析zip从而解析成jsp,导致恶意jsp文件上传成功
漏洞利用操作流程
根据以上分析的代码操作,找到文章缩略图地址,点击上传zip
上传上去之后右键复制图片路径,然后通过上面分析的调用解析zip的接口fileUrl=刚刚上传的zip回车提示执行成功
之后查看上传目录的地方,发现成功解压上传的zip文件了
我们在通过路径访问aaaaa.jsp,然后利用哥斯拉去连接他发现执行成功
我是橙天,我在渊龙Sec安全团队等你
微信公众号:渊龙Sec安全团队
欢迎关注我,一起学习,一起进步~
本篇文章为团队成员原创文章,请不要擅自盗取!
原文始发于微信公众号(渊龙Sec安全团队):铭飞Mcms存在文件上传漏洞的审计过程
