某运营管理平台登录绕过及文件上传漏洞分析<\/h1>

漏洞概述<\/h2>

本文详细分析某运营管理平台存在的两个高危漏洞：<\/p>

登录绕过漏洞 - 通过特定参数构造可绕过身份验证直接登录系统<\/li>

文件上传漏洞 - 结合中间件特性和路径穿越实现任意文件上传<\/li> <\/ol>

Filter分析<\/h2>

系统使用controllerFilter处理多个路由，其doFilter方法逻辑如下：<\/p>

第一层判断：<\/p>

检查URL是否包含\/dwr\/<\/code>或以.js<\/code>结尾<\/li>
不满足上述条件则进入下一步<\/li> <\/ul> <\/li>


verificationURL方法验证用户登录状态：<\/p>

未登录用户重定向到\/login\/abnormal_exit.jsp<\/code><\/li>
返回false阻止进入后续逻辑<\/li>
<\/ul>
<\/li>

第二层判断：<\/p>

检查URL是否包含\/ProxyServletUtil<\/code>和\/servlet\/pageProcessServlet<\/code><\/li>
不满足则进入下一步<\/li>
<\/ul>
<\/li>

第三层判断：<\/p>

URL不以.xf<\/code>和.xml<\/code>结尾<\/li>
如果以.jsp<\/code>结尾，则检查是否在白名单中(isNotValidatePage<\/code>方法)<\/li>
白名单外的jsp文件访问被阻止<\/li>
<\/ul>
<\/li>
<\/ol>
登录绕过漏洞1<\/h2>
漏洞位置<\/h3>
LinkUtil.getLinkMeta<\/code>方法处理.ln<\/code>结尾的URL<\/p>
利用原理<\/h3>


系统处理.ln<\/code>请求时：<\/p>

获取SYS_LINK<\/code>参数<\/li>
进行hex解码和decrypt解密<\/li>
解密后格式应为：url||时间||用户<\/code><\/li>
<\/ul>
<\/li>

时间格式：yyyy-MM-dd<\/code><\/p>
<\/li>

构造payload示例：<\/p>
\/main\/main.jsp||2025-01-01||admin
<\/code><\/pre>
<\/li>

利用步骤：<\/p>

对payload进行加密(EncrypUtil.encrypt)<\/li>
转换为hex(BaseFunc.bytesToHexString)<\/li>
访问URL：\/xxx.ln?SYS_LINK=hex数据<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
漏洞代码<\/h3>
\/\/ LinkUtil.getLinkMeta方法
<\/span><\/span><\/span><\/span>String decrypted =<\/span> EncrypUtil.<\/span>decrypt<\/span>(<\/span>BaseFunc.<\/span>hexStringToBytes<\/span>(<\/span>SYS_LINK));<\/span>
<\/span><\/span>String[]<\/span> parts =<\/span> decrypted.<\/span>split<\/span>(<\/span>"\\|\\|"<\/span>);<\/span>
<\/span><\/span>String url =<\/span> parts[<\/span>0<\/span>];<\/span>
<\/span><\/span>String time =<\/span> parts[<\/span>1<\/span>];<\/span>
<\/span><\/span>String user =<\/span> parts[<\/span>2<\/span>];<\/span>
<\/span><\/span>
<\/span><\/span>\/\/ 登录逻辑
<\/span><\/span><\/span><\/span>loginByUserName(<\/span>user,<\/span> request);<\/span>
<\/span><\/span><\/code><\/pre>文件上传漏洞<\/h2>
漏洞位置<\/h3>
\/iweboffice\/OfficeServer.jsp<\/code>使用了存在漏洞的金格组件(DBstep.jar)<\/p>
利用限制<\/h3>

直接访问会被Filter拦截<\/li>
需要绕过jsp文件访问限制<\/li>
<\/ol>
绕过方法<\/h3>
利用Tomcat特性：<\/p>

使用.jsp;<\/code>或.js%70<\/code>形式绕过.jsp<\/code>后缀检测<\/li>
Tomcat会自动处理这些特殊字符<\/li>
<\/ul>
利用步骤<\/h3>

上传jsp文件到存在的目录<\/li>
使用白名单中的jsp文件名<\/li>
通过特殊格式访问上传的文件<\/li>
<\/ol>
登录绕过漏洞2<\/h2>
漏洞位置<\/h3>
\/loginService.fe<\/code>路由对应的fe.ext.erp.FeErpLoginServlet<\/code><\/p>
利用方法<\/h3>
当参数op=D<\/code>时，会设置userName=admin<\/code>并自动登录：<\/p>
if<\/span> (<\/span>"D"<\/span>.<\/span>equals<\/span>(<\/span>op))<\/span> {<\/span>
<\/span><\/span>    String userName =<\/span> "admin"<\/span>;<\/span>
<\/span><\/span>    loginByCas(<\/span>userName,<\/span> request);<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>参考链接<\/h2>

相关技术分析文章<\/a><\/li>
漏洞库记录<\/a><\/li>
<\/ol>
防护建议<\/h2>

加强Filter对所有请求的校验<\/li>
移除或修复LinkUtil中的不安全逻辑<\/li>
更新存在漏洞的金格组件<\/li>
对.fe接口添加权限验证<\/li>
实施严格的输入验证和输出编码<\/li>
<\/ol>

某运营管理平台登录绕过及文件上传漏洞分析<\/h1>

登录绕过漏洞1<\/h2>

漏洞位置<\/h3>
`LinkUtil.getLinkMeta<\/code>方法处理.ln<\/code>结尾的URL<\/p>`

文件上传漏洞<\/h2>

漏洞位置<\/h3>
`\/iweboffice\/OfficeServer.jsp<\/code>使用了存在漏洞的金格组件(DBstep.jar)<\/p>`

登录绕过漏洞2<\/h2>

漏洞位置<\/h3>
`\/loginService.fe<\/code>路由对应的fe.ext.erp.FeErpLoginServlet<\/code><\/p>`

防护建议<\/h2>

加强Filter对所有请求的校验<\/li>
移除或修复LinkUtil中的不安全逻辑<\/li>
更新存在漏洞的金格组件<\/li>
对.fe接口添加权限验证<\/li>
实施严格的输入验证和输出编码<\/li> <\/ol>

某运营管理平台登录绕过及文件上传漏洞分析<\/h1>

登录绕过漏洞1<\/h2>

漏洞位置<\/h3> LinkUtil.getLinkMeta<\/code>方法处理.ln<\/code>结尾的URL<\/p>

文件上传漏洞<\/h2>

漏洞位置<\/h3> \/iweboffice\/OfficeServer.jsp<\/code>使用了存在漏洞的金格组件(DBstep.jar)<\/p>

登录绕过漏洞2<\/h2>

漏洞位置<\/h3> \/loginService.fe<\/code>路由对应的fe.ext.erp.FeErpLoginServlet<\/code><\/p>

防护建议<\/h2> 加强Filter对所有请求的校验<\/li> 移除或修复LinkUtil中的不安全逻辑<\/li> 更新存在漏洞的金格组件<\/li> 对.fe接口添加权限验证<\/li> 实施严格的输入验证和输出编码<\/li> <\/ol>

漏洞位置<\/h3>
`LinkUtil.getLinkMeta<\/code>方法处理.ln<\/code>结尾的URL<\/p>`

漏洞位置<\/h3>
`\/iweboffice\/OfficeServer.jsp<\/code>使用了存在漏洞的金格组件(DBstep.jar)<\/p>`

漏洞位置<\/h3>
`\/loginService.fe<\/code>路由对应的fe.ext.erp.FeErpLoginServlet<\/code><\/p>`

防护建议<\/h2>

加强Filter对所有请求的校验<\/li>
移除或修复LinkUtil中的不安全逻辑<\/li>
更新存在漏洞的金格组件<\/li>
对.fe接口添加权限验证<\/li>
实施严格的输入验证和输出编码<\/li> <\/ol>