ecology9-任意用戶登錄研究分析實(shí)記
研究與分析某微OA任意用戶登錄漏洞,本文記錄了從發(fā)現(xiàn)并驗(yàn)證漏洞到理解補(bǔ)丁修復(fù)過程的詳細(xì)步驟。首發(fā)于奇安信攻防社區(qū)。
在攻防演練中,某OA被報(bào)道存在任意用戶登錄的漏洞,其中提及的接口為 /mobile/plugin/VerifyQuickLogin.jsp,但實(shí)際驗(yàn)證發(fā)現(xiàn)影響的資產(chǎn)數(shù)量有限,甚至不存在。網(wǎng)傳的payload并不適用于此漏洞。
VerifyQuickLogin接口分析
該漏洞最早于2022年3月23日由某位安全專家在GitHub上公開poc。分析該接口時(shí),首先獲取各種參數(shù),然后通過ps.login方法嘗試登錄,參數(shù)包括 identifier、language 和 ipaddress。然而,ipaddress 參數(shù)必須非空,這與網(wǎng)傳payload不符。登錄后,返回sessionKey至前端,但實(shí)際返回的ecology_JSessionid不可用。
為了實(shí)現(xiàn)登錄,還需要配合使用/mobile/plugin/plus/login/LoingFromEb.jsp接口。然而,研究者發(fā)現(xiàn)自己的安裝版本中并未包含此文件,僅在互聯(lián)網(wǎng)上找到了利用方式。
總結(jié)
研究者發(fā)現(xiàn),網(wǎng)上的圖片中展示的sessionKey獲取截圖可能為舊版本。實(shí)際上,使用提供的poc只驗(yàn)證了第一步(獲取sessionKey)但未能成功獲取。研究者所測(cè)試的幾個(gè)版本的代碼中均未包含LoingFromEb.jsp文件,因此無法確認(rèn)漏洞的修復(fù)時(shí)間。早至2020年9月的版本已要求登錄后使用此接口。
OAuth2下的任意用戶登錄
針對(duì)某些版本未修復(fù)任意用戶登錄的問題,研究者對(duì)比了補(bǔ)丁文件。在WEB-INF/myclasses/weaver/security/rules/ruleImp/SecurityRuleForWeb0704.class中發(fā)現(xiàn)了剛補(bǔ)丁的任意用戶登錄漏洞。該漏洞首次出現(xiàn)在v10.48補(bǔ)丁包中,并在v10.54中做了修改。漏洞通過禁用/api/integration/oauth2/下的三個(gè)接口,且注釋為“漏洞利用”。
漏洞位于com.api.integration.web.OAuth2ServerAction類,該路徑下實(shí)現(xiàn)了三個(gè)接口。正常邏輯包括生成code、根據(jù)用戶id生成token和查詢用戶信息。重點(diǎn)在于accessToken接口的加密過程。研究者發(fā)現(xiàn)其中未涉及不可控值,存在偽造可能性。在profile接口中,通過解密access_token并根據(jù)uid創(chuàng)建新的session,從而實(shí)現(xiàn)漏洞。
利用說明
該漏洞利用有兩種方式。對(duì)于低版本的ecology,未修復(fù)API繞過鑒權(quán)的方法,可以使用特定方法繞過鑒權(quán)訪問接口,實(shí)現(xiàn)未授權(quán)訪問獲取管理員權(quán)限。在修復(fù)API繞過鑒權(quán)后的版本到v10.48之間,低權(quán)限用戶可通過調(diào)用該接口實(shí)現(xiàn)用戶提權(quán),獲得管理員權(quán)限。
國(guó)內(nèi)做企業(yè)管理軟件比較好的公司有哪些?
5、Manage 高亞的產(chǎn)品 (8Manage) 是美國(guó)經(jīng)驗(yàn)中國(guó)研發(fā)的企業(yè)管理軟件,整個(gè)系統(tǒng)架構(gòu)基于移動(dòng)互聯(lián)網(wǎng)和一體化管理設(shè)計(jì)而成,其源代碼編寫采用的是最為廣泛應(yīng)用的 Java \/ J2EE 開發(fā)語言,這樣的技術(shù)優(yōu)勢(shì)使 8Manage 可靈活地按需進(jìn)行客制化,并且非常適用于移動(dòng)互聯(lián)網(wǎng)的業(yè)務(wù)直通式處理,讓用戶可以隨時(shí)隨地通過手...
求音樂人類學(xué)知識(shí)點(diǎn)概括。求音樂人類學(xué),或者民族音樂學(xué)的主要內(nèi)容,復(fù)習(xí)...
Enthnology一詞1830年首先由法國(guó)人讓·雅克·昂佩勒提出,30-70年代民族學(xué)、人類學(xué)學(xué)會(huì)先后在法、美、英、德和意大利建立起來。比較音樂學(xué)則是在民族音樂學(xué)進(jìn)入80—90年代的一個(gè)新的發(fā)展階段時(shí)應(yīng)運(yùn)而生的。這一時(shí)期的歐美出現(xiàn)了一支受過專業(yè)訓(xùn)練的民族學(xué)隊(duì)伍,開展了世界范圍的、有目的的民族學(xué)田野調(diào)查...
相關(guān)評(píng)說:
托克遜縣軸頸: ______ 遠(yuǎn)程桌面設(shè)置分為兩種,一種是Windows 7連向非Windows 7的遠(yuǎn)程桌面,第二種是Windows 7連向Windows Vista/7/2008這樣的遠(yuǎn)程桌面,所以本文分別以Windows 7連向Windows 2003/XP和連向Windows 7兩種進(jìn)行介紹,由于設(shè)置是雙向的...
托克遜縣軸頸: ______ 1、可以直接使用“Ctrl + Shift + Esc”快捷鍵直接打開任務(wù)管理器程序;2、彈出任務(wù)管理器后,在“進(jìn)程”選項(xiàng)卡中找到“explorer.exe”進(jìn)程;3、選中“explorer.exe”點(diǎn)擊下方的“結(jié)束進(jìn)程”按鈕,關(guān)閉資源管理器;4、然后點(diǎn)擊左上角的“文件”打開菜單,選擇“新建任務(wù)(運(yùn)行)”;5、之后會(huì)彈出“新建新任務(wù)”窗口,輸入剛剛關(guān)閉的進(jìn)程名稱“explorer.exe”,點(diǎn)擊確定即可.
托克遜縣軸頸: ______ sys和system用戶的區(qū)別:1、權(quán)限不同:SYS用戶具有DBA權(quán)限,是Oracle數(shù)據(jù)庫中權(quán)限最高的帳號(hào).system用戶則沒有DBA權(quán)限.2、登錄模式不同:SYS用戶只能通過SYSDBA登錄數(shù)據(jù)庫,而system登錄em時(shí)只能用normal模式登錄.sys用...
托克遜縣軸頸: ______ 1、使用用戶名密碼登錄 在命令行中輸入命令:ssh username@ip_address -p port 之后系統(tǒng)會(huì)提示輸入密碼,輸入后即可登錄 如果不添加-p選項(xiàng),則默認(rèn)是22端口 還可以使用-l選項(xiàng)輸入用戶名:ssh -l username ip_address -p port2、使用密鑰登...
托克遜縣軸頸: ______ 1、Telnet 允許遠(yuǎn)程用戶登錄并運(yùn)行程序,支持多種 TCP/IP Telnet客戶,包括基于 UNIX 和 Windows 的計(jì)算機(jī).如果啟動(dòng),遠(yuǎn)程用戶就可以登錄、訪問本地的程序,甚至可以用它來修改你的ADSL Modem等的網(wǎng)絡(luò)設(shè)置. 2、NetMeeting Remote ...
托克遜縣軸頸: ______ 說明你現(xiàn)在使用的用戶對(duì)該目錄沒有訪問權(quán)限,而這個(gè)軟件默認(rèn)的安裝模式需要往這個(gè)目錄copy文件,試試安裝到自定義目錄
