本文首发先知:https://xz.aliyun.com/t/14227
前言
半年前,审计过一次这套代码,那时候想着后台有命令执行的功能点,就没关注rce,审计了一些别的水洞。这次hookdd没事,说审计了一个rce,说一起看看,所以这次就只看rce,最后就有个以下几个洞。本次使用的3.9.8版本,但是刚刚更新了3.9.9,不过看描述,并没有修复一下几个点,应该都可以使用。
0x01 zip自解压
com.cym.controller.adminPage.MainController#upload
功能比较简单,可以看见把tmpdir+'/'+文件名拼接,然后保存进去,没有限制后缀,其实限制不限制都能r掉。
其中FileUtil.getTmpDir()会获取系统的临时目录,mac系统为
ubuntu系统的临时目录为/tmp。
对应的前端功能点
前端这里是限制了zip上传,但是我们看后端是没有判断的,直接会把上传的文件放到临时目录。
当我们选择好目录时,他会调用
com.cym.controller.adminPage.WwwController#addOver进行处理
可以看到,我们能控制解压目录,以及需要解压的文件,最后调用zip进行解压。
那么其实很简单了,TmpDir()我们知道,文件名知道,我们只需要上传一个ssh密钥到.ssh目录下就可以了。
复现
先选择要上传的zip文件
可以看到以及上传到tmp目录,这是macos的,ubuntu在/tmp下
选择好ssh目录。
对应数据包。
最后直接调用zip解压到ssh目录
成功解压到ssh
最后也是使用公钥直接登录
0x02 zip目录穿越
上面那种方法,其实只能打一次,因为在zip解压的时候会在数据库查询,钥匙已经同目录穿过,会抛出异常。
com.cym.controller.adminPage.WwwController#addOver
这里可以清楚得看到,会在sql里面查询上传目录是否存在,存在就抛出异常。
这里有两种解决办法,第一种就是
传入ssh的id,使其能正常修改目录的文件内容
id可以直接f12获得,
填入后就可以正常穿
第二种就比较暴力
cn.hutool.core.util.ZipUtil#unzip(java.util.zip.ZipFile, java.io.File, long)
zipentry没有对../过滤。
zip解压时是没有对zip目录穿越进行过滤的,所以可以利用zip目录穿越来传文件,dir保证是没有使用过的就行。
复现
上传zip_slip.zip
得到路径
上传时显示路径重复,这时我们dir任意写一个本地存在的目录,确保数据库没有就行。
最后成功上传。
数据库里面的状态。
0x03 runcmd绕过造成命令执行
com.cym.controller.adminPage.ConfController#runCmd
可以看到穿进来的cmd先进行过滤,在进行拼接执行。
com.cym.controller.adminPage.ConfController#isAvailableCmd
可以先读取nginxPath、nginxExe、nginxDir三个值,首先判断在不在case里面,不在就进入if,主要就是判断cmd和settingService.get("nginxExe") + " -c " + settingService.get("nginxPath") + dir是不是想等,不想等就不执行,想等就执行
com.cym.controller.adminPage.ConfController#saveCmd
而刚好这三个值我们可自由控制。
它会对传值进行过滤,其实看看很好绕过。linux用$(IFS)代替空格就行,win用powershell.exe(calc) 就行
复现
先修改两个值
成功执行
可以执行。
由于有过滤,所以我们可以把reserveshell写进文件,在用bash来执行就好。
利用前面分析得,上传点自动缓存到tem目录,ubuntu为/tmp目录.。强烈建议不要用macos这傻逼每个shell环境里面var/folders/ln/sjz_zm513ng125ngw6c2b_lm0000gn都不一样。
换ubuntu后,成功rce
0x04 reload 代码执行
com.cym.controller.adminPage.ConfController#reload
