0x00 简介
X凌EKP是一款功能强大的企业协同办公平台,适用于各种规模的组织,旨在提高工作效率、促进团队协作,以及优化业务流程。它可以帮助组织更好地组织和管理工作,提高竞争力
0x01 漏洞概述
情报披露X凌EKP存在未授权访问漏洞,可以读取resource目录下的所有文件,包括日志请求信息
0x02 影响版本
V15等
0x03 漏洞复现
0x04 漏洞原理
spring.xml,存在匿名路径:/ui-ext/**
查看web.xml,对应的 Servlet 是 com.landray.kmss.web.servlet.RedirectServlet
经过一系列的 Filter 后请求到了RedirectServlet,跟进这个service方法
request.getContextPath()会获取项目名,然后替换成 “”,有的情况下Tomcat部署项目没有修改配置,带上了ekp的名字,这里会把它替换了
request.getRequestURI()获取的值为:/./ui-ext/./behavior,然后进行if判断,这里添加的/./刚好绕过判断,跟进this.redirect方法
protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String url = request.getRequestURI().replaceFirst(request.getContextPath(), "");
if (!url.endsWith(".theme.css") || !url.startsWith("/ui-ext/") && !url.startsWith("//ui-ext/")) {
this.redirect(request, response);
} else {
ThemeUtil.service(request, response);
}
}
redirect和getFileName方法:
getFileName:把项目名替换成“”,然后再把this.requestPath替换成“”,最后拼接this.forwardPath
/./ui-ext/./behavior替换掉/ui-ext/-->/../behavior
拼接返回filename-->file:c:/landray/kmss/resource/ui-ext//../behavior
通过拼接的/../刚好可以穿越到resource命目录,接着就是一系列的判断,然后使用new URL(fileName)读取文件/目录
private void redirect(HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException {
String fileName = this.getFileName(request);
String fileNameLower = fileName.toLowerCase();
if (fileNameLower.indexOf("%c0") < 0 && fileNameLower.indexOf("%00") < 0) {
if (fileNameLower.indexOf(".ini") >= 0) {
throw new FileNotFoundException("ini文件不允许被访问");
} else {
if (!this.anonymous && UserUtil.getKMSSUser(request).isAnonymous()) {
response.sendRedirect(request.getContextPath() + "/login.jsp");
} else {
URLConnection conn = (new URL(fileName)).openConnection();
InputStream stream = null;
try {
stream = conn.getInputStream();
.......
读取文件
.......
} catch (FileNotFoundException var41) {
response.setStatus(404);
logger.error(fileName + "文件不存在", var41);
} catch (Exception var42) {
logger.error(request.getRequestURI(), var42);
} finally {
try {
if (stream != null) {
stream.close();
}
} catch (Exception var38) {
logger.error("关闭流错误!", var38);
}
}
}
}
} else {
throw new IOException("路径包含非法字符");
}
}
`
getFileName方法
private String getFileName(HttpServletRequest request) {
String req = request.getRequestURI().replaceFirst(request.getContextPath(), "");
req = req.replaceFirst(this.requestPath, "");
return this.forwardPath + req;
}
this.requestPath和this.forwardPath值如下:
同样的,因为Spring MVC默认会将多个斜杠(“/”)视为一个斜杠(“/”)来处理,也可以使用//ui-ext/这种方式进行绕过
0x05 修复方式
联系官方打补丁