前言

23年底网上公开了一个某凌OA前台RCE,接口为/sys/ui/sys_ui_component/sysUiComponent.do这个漏洞是文件解压以后复制到WEB目录导致的任意文件写入,接口是直接能前台访问。我印象中能前台直接访问的接口里没有这个,后来发现是V16的某些版本才存在,于是分析了一下漏洞出现的原因以及是如何修复的。

鉴权分析

蓝凌为了给不同role的用户做权限校验,自写了一种xml配置方式。

/sys/ui/有关的配置xml在WEB-INF/KmssConfig/sys/ui/design.xml定义

<?xml version="1.0" encoding="UTF-8"?>

<configs

	xmlns="http://www.example.org/design-config"

	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

	xsi:schemaLocation="http://www.example.org/design-config ../../design.xsd ">

	<module

		messageKey="sys-ui:module.sys.ui"

		urlPrefix="/sys/ui/"

		defaultValidator="true">

		<request

			path="index.jsp*"

			defaultValidator="roleValidator(role=SYSROLE_ADMIN;SYSROLE_SYSADMIN)" />

		<request

			path="tools.jsp*"

			defaultValidator="roleValidator(role=SYSROLE_ADMIN;SYSROLE_SYSADMIN)" />

		<request

			path="tree.jsp*"

			defaultValidator="roleValidator(role=SYSROLE_USER)" />

		<request

			path="help/font/**"

			defaultValidator="roleValidator(role=SYSROLE_USER)" />

		<request

			path="help/component/**"

			defaultValidator="roleValidator(role=SYSROLE_ADMIN;ROLE_SYSPORTAL_BASE_SETTING)" />

		<request

			path="help/**"

			defaultValidator="roleValidator(role=SYSROLE_ADMIN;ROLE_SYSPORTAL_EXT_SETTING)" />

		<request

			path="demo/**"

			defaultValidator="roleValidator(role=SYSROLE_USER)" />

		<request

			path="jsp/**"

			defaultValidator="roleValidator(role=SYSROLE_USER)" />

		<request

			path="sys_ui_logo/**"

			defaultValidator="roleValidator(role=SYSROLE_ADMIN;SYSROLE_SYSADMIN)" />

		<request

			path="sys_ui_extend/**"

			defaultValidator="roleValidator(role=SYSROLE_ADMIN;ROLE_SYSPORTAL_EXT_SETTING)" />

		<request

			path="sys_ui_tool/**"

			defaultValidator="roleValidator(role=SYSROLE_ADMIN;SYSROLE_SYSADMIN)" />

		<request

			path="sys_ui_config/**"

			defaultValidator="roleValidator(role=SYSROLE_ADMIN;SYSROLE_SYSADMIN)" />

		<request

			path="sys_ui_qrcode/**"

			defaultValidator="roleValidator(role=SYSROLE_USER)" />

		<request

			path="/sys_ui_compress/sysUiCompress.do*"

			defaultValidator="roleValidator(role=SYSROLE_ADMIN;SYSROLE_SYSADMIN)"/>

	</module>

</configs>

/sys/ui/模块defaultValidatorture即无需鉴权,如果匹配到下面path里的路径则需要对应的defaultValidator权限。漏洞路径为/sys/ui/sys_ui_component/sysUiComponent.do匹配不到path里的路径所以也就无需鉴权了。具体的鉴权代码在com.landray.kmss.sys.authentication.intercept.AuthenticationValidateCoreImp#checkAuthentication(com.landray.kmss.sys.authentication.intercept.ValidatorRequestContext)



com.landray.kmss.sys.config.design.SysConfigs#loadAuthValidator



通过路径获取对应的模块



根据模块对应的授权配置匹配路径



com.landray.kmss.sys.config.design.SysCfgQuery#match



此处为参数级权限校验

这个漏洞出现的原因其实就是/sys/ui/模块默认无需鉴权,开发在这个模块新增了一个路由这个路由的命名正好也没匹配到其他的path,开发也忘记在xml里添加相应的鉴权配置,导致这个路由可以直接前台访问。

解析差异

在2023-06-09官方就已经修复了这个漏洞,修复方法为在xml里配置了鉴权。

WEB-INF/KmssConfig/sys/ui/design.xml



我们注意到这个地方使用的参数级鉴权,只有method等于某些特定值的时候才需要鉴权。

我们重新回到对于参数级权限校验处理的方法

com.landray.kmss.sys.config.design.SysCfgQuery#match

这个地方会获取method参数的值然后和配置里的比较



跟入com.landray.kmss.common.actions.RequestContext#getParameter



他这里就是用的tomcat的getParameterMap获取参数map然后获取值。

我们看后面调用方法的时候,他是怎么获取的。com.landray.kmss.common.actions.BaseAction#getMethodName



这里传入的request可以由我们在org.springframework.web.servlet.DispatcherServlet#doDispatch里改变





当请求为POST且Content-Type以multipart/开头request即为DefaultMultipartHttpServletRequest

所以当我们以上传格式传入method



验证权限的时候获取不到method参数的值,而查找调用方法时可以找到。

所以只需使用form-data格式传入method即可绕过权限校验复活这个漏洞。

漏洞利用

/sys/ui/sys_ui_component/sysUiComponent.do路由在WEB-INF/KmssConfig/sys/ui/spring-mvc.xml处定义



找到对应存在漏洞的方法

com.landray.kmss.sys.ui.actions.SysUiComponentAction#getThemeInfo

如果上传文件的后缀为zip的话会进行解压



解压的方法里判断目录穿越的情况



判断解压的文件里是否包含component.ini,如果包含的话加载ini从中获取id和name最后将一些需要的参数返回



然后把刚才解压的内容复制到this.getAppFolder(extendId)



extendId是我们刚才解压文件里面component.ini里的值。相当于将我们压缩包的文件解压然后全部复制到web目录的/resource/ui-component/+extendId目录下面

我们将component.ini文件内容填写如下

id=dasdasdas

name=test

thumb=/thumb.jpg

压缩包的文件解压后将会被复制的/resource/ui-component/dasdasdas/

我们制作一个如下压缩包



构造数据包使用上传格式传入method的值绕过权限校验,同时上传我们制作好的压缩包即可实现前台RCE

修复

官方于2024-07-26修复了漏洞。



修复访问为对/sys/ui/sys_ui_component/sysUiComponent.do添加了默认鉴权

以及在进入鉴权参数判断前对上传格式的数据包进行解析

com.landray.kmss.sys.authentication.intercept.FilterInvocationDefinitionSourceImp#getAttributes

总结

通过分析某凌OA鉴权机制发现其鉴权和最终获取method时存在差异。可以利用spring获取参数时会对form-data格式进行解析获取,而正常使用getParameter获取参数时获取不到form-data里参数的值从而实现鉴权绕过。这种绕过鉴权的方式在smartbi中也出现过,其实在某远OA里也存在。这种解析差异不止可以用来绕过鉴权,在java里很多时候会使用全局过滤器做sql注入、xss检测。过滤器里使用getParameter获取参数值实际上是获取不到form-data格式里的值的,这种情况可能会被直接绕过全局过滤器检测,所以进行黑盒测试的如果碰到sql注入有代码检测可以直接转为form-data格式进行测试有可能会有惊喜。

利用解析差异复活某凌OA前台RCE的更多相关文章

  1. 蓝凌OA前台任意文件读取漏洞利用

    近期CNVD爆出漏洞编号:CNVD-2021-28277,首次公开日期为2021-04-15,蓝凌oa存在多个漏洞,攻击者可利用该漏洞获取服务器控制权.今天挑选一个蓝凌OA前台任意文件读取漏洞进行分析 ...

  2. 蓝凌OA二次开发手册

    1.蓝凌OA表单前端调用后台数据 一.后台存储过程: create procedure sp_test @ftext nvarchar(50) as begin select @ftext as '测 ...

  3. web兼容学习分析笔记-margin 和padding浏览器解析差异

    二.margin 和padding浏览器解析差异 只有默认margin的元素 <body>margin:8px  margin:15px 10px 15px 10px(IE7) <b ...

  4. 通达OA 前台任意用户登录漏洞复现

    漏洞描述 通达OA是一套办公系统.通达OA官方于4月17日发布安全更新.经分析,在该次安全更新中修复了包括任意用户登录在内的高危漏洞.攻击者通过构造恶意请求,可以直接绕过登录验证逻辑,伪装为系统管理身 ...

  5. 泛微 e-cology OA 前台SQL注入漏洞

    0x00概述 该漏洞是由于OA系统的WorkflowCenterTreeData接口在收到用户输入的时候未进行安全过滤,oracle数据库传入恶意SQL语句,导致SQL漏洞. 0x01影响范围 使用o ...

  6. 蓝凌OA常用表整理

    SELECT * FROM V_FI_ORG_EMP  --用户表视图(关联单位)SELECT * FROM FI_ORG_EMP  --用户表 SELECT * FROM FI_ORG_INFO   ...

  7. 泛微 e-cology OA 前台SQL注入

    poc https://github.com/AdministratorGithub/e-cology-OA-SQL 用法:python elog_sql.py http://target 不存在返回 ...

  8. DBShop前台RCE

    前言 处理重装系统的Controller在判断是否有锁文件后用的是重定向而不是exit,这样后面的逻辑代码还是会执行,导致了数据库重装漏洞和RCE. 正文 InstallController.php中 ...

  9. 某cms最新版前台RCE漏洞(无需任何权限)2020-03-15

    漏洞文件:application/common/controller/Base.php 中的 getAddonTemplate 方法: 错误的使用了public,导致我们可以直接外部访问. 然后使用了 ...

  10. WeCenter (最新版) 前台RCE漏洞 (2020-02-22)

    漏洞通过phar触发反序列化漏洞. 触发点:./models/account.php 中的 associate_remote_avatar 方法: 搜索全局调用了该方法的地方: ./app/accou ...

随机推荐

  1. MySQL-删除数据和count(*)原理

    delete删除数据原理 在InndoDB存储引擎中,delete删除操作是把需要删除的数据或者页标记为已删除,后面如果有需要,直接复用即可.这些被标记为已经删除的数据,看起来就像空洞一样.所以看起来 ...

  2. 初识if,if的三种结构

    1.if语句 流程控制语句:通过一语句,来控制程序的执行流程.其中if属于分支结构 2.if语句的第一种格式 . 实操: 3.if的第二种格式 实操: 4.if的第三种格式 实操: 5.注意事项 在i ...

  3. idea远程访问docker查看控制台中文乱码问题

    今天心血来潮想把自己的项目部署到docker,部署完成后通过idea远程访问docker.发现控制台日志出现中文乱码,起初还以为docker或者项目编码没有设置好,一一排查后发现服务器编码和环境都没有 ...

  4. 记录一次mysql数据库修复过程

    1. 场景 最近在使用小皮面板进行靶场搭建的时候,发现数据库一直无法启动,而在虚拟机里是可以启动了,这就很奇怪了.意识到我的本地已经安装了mysql,可能产生了冲突,但是当我兴冲冲启动本地mysql的 ...

  5. Spring Boot 不能加载 tcnative-2.dll 库(Can't load library: tcnative-2.dll)

    Spring Boot 不能加载 tcnative-2.dll 库 本文将介绍怎样解决 Spring Boot 在启动时抛出 "org.apache.tomcat.jni.LibraryNo ...

  6. Java 在循环里发生异常会跳出循环

    不知道他验证了没... package com.zjw; /** * @author 朱俊伟 * @date 2020/11/12 22:09 */ public class TestError { ...

  7. P4516 [JSOI2018] 潜入行动 题解

    题意: 给定一棵无根树,要求给树上 \(k\) 个点标记,使得所有点都至少与一个被标记的点相邻.(注意自己被标记不代表与标记相邻) 思路 考虑树形DP. 套路地设 \(f_{u,i,0/1,0/1}\ ...

  8. 『Plotly实战指南』--Plotly与Pandas的深度融合

    在数据分析的世界中,数据处理与可视化是密不可分的两个环节. Pandas作为Python数据处理的核心工具,以其强大的数据清洗.转换和分析能力,成为数据科学家和分析师的必备利器: 而Plotly则是交 ...

  9. Dify实战案例《AI面试官》更新,支持语音交互+智能知识库+随机题库+敏感词过滤等...

    大模型应用课又更新了,除了之前已经完结的两门课(视频+图文): <Spring AI 从入门到精通> <LangChain4j 从入门到精通> 还有目前正在更新的 <Di ...

  10. B1086 就不告诉你

    描述 做作业的时候,邻座的小盆友问你:"五乘以七等于多少?"你应该不失礼貌地围笑着告诉他:"五十三."本题就要求你,对任何一对给定的正整数,倒着输出它们的乘积. ...