安全矩阵

 找回密码
 立即注册
搜索
查看: 2310|回复: 0

泛微云桥-任意文件读取深入利用

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2021-5-14 08:47:29 | 显示全部楼层 |阅读模式
原文链接:泛微云桥-任意文件读取深入利用

0.前言
最近碰到了一个泛微云桥的系统,然后发现这个系统存在任意文件读取漏洞,但是目标是Windows的系统。
记录一下,如何把这个漏洞利用最大化
漏洞POC
http://1.1.1.1:8088/wxjsapi/save ... ini&fileExt=txt
取出ID


然后通过URL访问文件内容

http://1.1.1.1:8088/file/fileNoL ... 6d3a07279383273ba6f

image-20210513101616951
1.读文件首先读取常规文件,linux下的/etc/shadow
其次可以读取项目配置文件,获取mysql账号密码
http://1.1.1.1:8088/wxjsapi/save ... s&fileExt=a.txt

image-20210513102214150

2.SSRF这里除了是本地任意文件读取外,同样也支持http协议,并且可回显,在没有什么其他突破方式的情况下,可以通过这个探测内网
http://1.1.1.1:8088/wxjsapi/save ... 1&fileExt=a.txt

image-20210513102337047
3.读后台管理密码哈希泛微云桥的后台密码是存储在,此系统自带的MySQL中的ewechat.wx_base_user表中,储存路径相对固定。
可以通过直接读取mysql原始数据文件的方式,来获取密码hash
http://1.1.1.1:8088/wxjsapi/save ... d&fileExt=a.txt
sysadmin后面的就是管理员密码哈希

image-20210513102941001 但是通过对泛微云桥代码进行审计,除了系统刚开始的默认密码1是通过md5进行储存的

image-20210513103217206 只要修改了后台密码,密码则是通过国密进行hash运算。获取hash后,可以考虑在本地进行破解

image-20210513103344520

4.读企业微信AK泛微云桥是一个可以连通企业微信号和钉钉号、飞书的一款应用。如果管理员配置了微信的ak的话,可以通过读取数据表来获取
http://1.1.1.1:8088/wxjsapi/save ... d&fileExt=a.txt




回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 04:41 , Processed in 0.015510 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表