TRS WCM 6.x任意文件写入
2020-10-16 本文已影响0人
nohands_noob
官方介绍:
TRS内容管理系统,即TRS WCM是一款面向政府、媒体和企业等行业用户的内容管理平台,支持在云计算架构上进行集群化部署,并且支持内容管理云服务模式,为不同的、多级组织机构提供内容丰富、形式多样、可扩展的内容管理云服务,具有与社交媒体融合、一次采编/多渠道发布、碎片化发布、可视化专题制作、富媒体内容管理等功能特点。
今天做复测时复现了该漏洞,TRS WCM 6.x已经是很多年前的系统了,这个漏洞也是n年前公布的,也是刚接触到,所以记录一下。
0x00 复测
首先访问 http://xxx/wcm/app/login.jsp,确定是6.x版本
访问 http://xxx/wcm/services,发现templateservicefacade服务存在writeFile和writeSpecFile
0x01 利用
使用SoapUI操作接口,
http://xxx/wcm/services/trs:templateservicefacade?wsdl
打开writeFile的request,参数1可以随意输入base64,参数2为上传后缀名,返回数据中暴露了物理地址
打开writeSpecFile的request,参数1为写入内容的base64编码,参数2为绝对路径
绝对路径为:/opt/TRS/TRSWCMV65/Tomcat/webapps/wcm/demo/index.jsp
上传内容为:Jmx0OyVvdXQucHJpbnQoImhlbGxvIHdvcmxkIik7JSZndDs=(<%out.print("hello world");%>)
0x02 中间的坑
1、writeSpecFile是会覆盖文件的,这点注意
2、上传的文件访问会验证登录,但下面几个上传位置通常不会验证,~/wcm/index.jsp,~/wcm/demo/index.jsp,~/wcm/include/login.jsp