奇安信攻防社区-某安防管理平台任意文件上传漏洞复现分析

某安防管理平台任意文件上传漏洞复现分析

由于代码缺陷未对文件进行合法有效的效验，导致其攻击者可以利用此漏洞上传任意文件，包括但不限于webshell，获取主机交互式shell ## 漏洞细节废话不多说直接action开整，漏...

漏洞描述
----

由于代码缺陷未对文件进行合法有效的效验，导致其攻击者可以利用此漏洞上传任意文件，包括但不限于webshell，获取主机交互式shell

资产测绘搜索语句
--------

fofa: icon\_hash="-808437027"  
hunter：web.icon=="e05b47d5ce11d2f4182a964255870b76"

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-33748173271c6af87e79c245a321dbac337e1721.png)

漏洞细节
----

废话不多说直接action开整，漏洞点位于

```php
webapps/center_install/WEB-INF/classes/com/hikvision/center/controller/UploadFileController.class
```

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-50a1f89fcb0a4c67e575d3febcc66ca2309fd0cf.png)

在这里我们可以很直观的看到功能点这个是一个上传zip文件的功能点，接受参数为sendfile，继续跟进

```php
webapps/center_install/WEB-INF/classes/com/hikvision/center/service/config/impl/ConfigUploadFileServiceImpl.class
```

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-bfcb5a99d5f9d8456522290ad2c24fc9d83d7bf5.png)

这里只有一个调用，继续跟进查看

```php
webapps/center_install/WEB-INF/classes/com/hikvision/center/service/config/util/ConfigUploadFileServiceUtil.class
```

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-67c0d5c6029f610f61c3165a2123db8e8b890702.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-fbcab6a4371f72f7f105559301f24a0c3c354c46.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-1050d5c29d9d81dbc9f82585aa7cb3649f560dee.png)

看了看其实也没啥就是检测文件在不在，一些简单操作，然后就会create创建文件，既然如此先打一波看看文件会生成不

漏洞复现
----

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-12bacbe8dc32229ae635f6b1cb78efbeb88c26da.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-05b3625cf6e6a418920e86378ae44aa18146bfa9.png)  
文件生成，直接跨目录写shell试试

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-086d329e861872598bec420e85b7dec4e7bcf636.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-da8729814dce414b08e6cfd8dc446432e4bfa346.png)  
结束下机

修复
--

既然我们知道漏洞触发的过程，那我们打上补丁看看漏洞修复的思路

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-a9cf0cbac65cad83a69c4c940f3d53064a0d5e28.png)  
直接简单粗暴的将判断语句提前了，这样就不会出现任意跨目录写文件的问题了，当然压缩的解压是不存在跨目录解压的情况，因为解压工具用的是7z来进行压缩包解压。

发表于 2024-08-02 09:36:17
阅读 ( 5922 )
分类：Web应用

1 条评论

cloudcoll 1秒前

开源的系统？？