ma4ter

Index | Photo | About | Friends | Archives

某友ncc最新版前台无条件rce分析

2看到/hotwebs/ncchr/WEB-INF/lib/performance-fb-3.4.0-SNAPSHOT-web.jar 包下的
AttachmentController类 uploadChunk方法
某友ncc最新版前台无条件rce分析
跟进uploadAttachment方法 参数全部可控
某友ncc最新版前台无条件rce分析
很普通的文件上传操作 fileGuid可控 我们可以传参控制路径
但是这个路由是有鉴权的
某友ncc最新版前台无条件rce分析
直接访问提示nologin
鉴权的filter在 /hotwebs/ncchr/WEB-INF/lib/hrmix-ncc-auth-4.0.0-SNAPSHOT.jar包下的LoginFilter类
某友ncc最新版前台无条件rce分析
只需满足其中一个方法返回true即可绕过鉴权 跟进validAccessToken方法
某友ncc最新版前台无条件rce分析
从头部取得accessTokenNcc 随后jwt解密
jwt的默认密钥硬编码到了代码中
某友ncc最新版前台无条件rce分析
自己生成jwt即可绕过鉴权
某友ncc最新版前台无条件rce分析

Exp:

no exp
</> Copyright © ma4ter's Blog