某远未授权访问分析

简介

某远OA是一套办公协同软件。近日,阿里云应急响应中心捕获到多个利用致远OA文件上传与权限绕过漏洞的利用样本。由于某远OA旧版本某些接口存在未授权访问,以及部分函数存在过滤不足,攻击者通过构造恶意请求,可在无需登录的情况下上传恶意脚本文件,从而控制服务器。某远OA官方已针对该漏洞提供补丁,漏洞利用细节暂未公开。

首先我们可以看出,这首先是一个未授权访问漏洞,再结合任意文件上传漏洞的利用。

当然,这个非授权访问漏洞比较精彩,所以先分析这个洞。

补丁下载

某远oa的补丁是可以在官网下载的,当然,都是2020年10月补丁,可能是某里云搞错了。为啥突然诈尸一样更新了呢

某远安装包

百度一下破解版,只能这样。

补丁分析

首先我们分析补丁都改动了什么。这个才是重点

com.seeyon.ctp.common.spring.CTPHandlerInterceptor


CTPHandlerInterceptor这个东西,我们可以类比为spring版的filter,针对某些请求做过滤。我们可以看到,如果url出现"./", ";", ".#",则直接拦截请求。那么我们分析一下请求流程
CTPHandlerInterceptor首先判断是否为ajax请求,也就是url是否包含ajax.do。

            boolean isAjax = "/ajax.do".equals(uri);
            String url = uri;
            String queryStr = request.getQueryString();
            if (queryStr != null) {
                url = uri + "?" + queryStr;
            }

            String ignoreUrl = url;
            if (isAjax) {
                String serviceName = request.getParameter("managerName");
                String methodName = request.getParameter("managerMethod");
                ignoreUrl = serviceName + "." + methodName;
            }

记住ignoreUrl这个变量,这个变量随后就要分析

 if (!needlessUrl && !User.isIgnoreUrl(ignoreUrl, request, response)) {
                boolean state = this.checkSessionPre(request, response, handler.getClass().getCanonicalName(), isAjax);
                if (!state) {
                    return state;
                }

                User.validateResource(url, true);
            }

User.isIgnoreUrl方法的作用主要是根据ignoreUrl是否需要重定向用户至登录页面。当然,部分ajax请求是不需要登录的,这也就给我们造成可乘之机。下面是isIgnoreUrl的简化代码
com.seeyon.ctp.common.authenticate.domain.User#isIgnoreUrl

我们直接分析ignoreUrl这个列表是从哪里生成的即可。

也就是说,只要我们的ignoreUrl为图中的内容,就可以绕过登录。

看到这里,再结合上面补丁diff的内容,是不是就明白这是什么漏洞了。

这个漏洞其实就是绕过登录,访问被保护的接口,当然这里包括但不限于文件上传接口。所以官方直接就把未授权访问这个洞修复了。你可以把这个类比为weblogic的未授权访问,漏洞成因其实都是类似的

所以分享一个网上的例子,也就是未授权访问结合任意文件上传的getshell

Poc

/seeyon/autoinstall.do.css/..;/ajax.do?method=ajaxAction&managerName=formulaManager&requestCompress=gzip