某凌EKP未授权访问漏洞分析
KimJun 发表于 美国 漏洞分析 39188浏览 · 2023-09-19 14:02

0x00 简介

X凌EKP是一款功能强大的企业协同办公平台,适用于各种规模的组织,旨在提高工作效率、促进团队协作,以及优化业务流程。它可以帮助组织更好地组织和管理工作,提高竞争力

0x01 漏洞概述

情报披露X凌EKP存在未授权访问漏洞,可以读取resource目录下的所有文件,包括日志请求信息

0x02 影响版本

V15等

0x03 漏洞复现

0x04 漏洞原理

spring.xml,存在匿名路径:/ui-ext/**

查看web.xml,对应的 Servlet 是 com.landray.kmss.web.servlet.RedirectServlet

经过一系列的 Filter 后请求到了RedirectServlet,跟进这个service方法

request.getContextPath()会获取项目名,然后替换成 “”,有的情况下Tomcat部署项目没有修改配置,带上了ekp的名字,这里会把它替换了
request.getRequestURI()获取的值为:/./ui-ext/./behavior,然后进行if判断,这里添加的/./刚好绕过判断,跟进this.redirect方法

protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    String url = request.getRequestURI().replaceFirst(request.getContextPath(), "");
    if (!url.endsWith(".theme.css") || !url.startsWith("/ui-ext/") && !url.startsWith("//ui-ext/")) {
        this.redirect(request, response);
    } else {
        ThemeUtil.service(request, response);
    }
}

redirect和getFileName方法:
getFileName:把项目名替换成“”,然后再把this.requestPath替换成“”,最后拼接this.forwardPath

/./ui-ext/./behavior替换掉/ui-ext/-->/../behavior
拼接返回filename-->file:c:/landray/kmss/resource/ui-ext//../behavior

通过拼接的/../刚好可以穿越到resource命目录,接着就是一系列的判断,然后使用new URL(fileName)读取文件/目录

private void redirect(HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException {
        String fileName = this.getFileName(request);
        String fileNameLower = fileName.toLowerCase();
        if (fileNameLower.indexOf("%c0") < 0 && fileNameLower.indexOf("%00") < 0) {
            if (fileNameLower.indexOf(".ini") >= 0) {
                throw new FileNotFoundException("ini文件不允许被访问");
            } else {
                if (!this.anonymous && UserUtil.getKMSSUser(request).isAnonymous()) {
                    response.sendRedirect(request.getContextPath() + "/login.jsp");
                } else {
                    URLConnection conn = (new URL(fileName)).openConnection();
                    InputStream stream = null;
                    try {
                        stream = conn.getInputStream();
                        .......

                        读取文件
                        .......
                    } catch (FileNotFoundException var41) {
                        response.setStatus(404);
                        logger.error(fileName + "文件不存在", var41);
                    } catch (Exception var42) {
                        logger.error(request.getRequestURI(), var42);
                    } finally {
                        try {
                            if (stream != null) {
                                stream.close();
                            }
                        } catch (Exception var38) {
                            logger.error("关闭流错误!", var38);
                        }
                    }
                }
            }
        } else {
            throw new IOException("路径包含非法字符");
        }
    }
`

getFileName方法

private String getFileName(HttpServletRequest request) {
        String req = request.getRequestURI().replaceFirst(request.getContextPath(), "");
        req = req.replaceFirst(this.requestPath, "");
        return this.forwardPath + req;
    }

this.requestPath和this.forwardPath值如下:

同样的,因为Spring MVC默认会将多个斜杠(“/”)视为一个斜杠(“/”)来处理,也可以使用//ui-ext/这种方式进行绕过

0x05 修复方式

联系官方打补丁

0 条评论
某人
表情
可输入 255