美文网首页
TRS WCM 6.x任意文件写入

TRS WCM 6.x任意文件写入

作者: nohands_noob | 来源:发表于2020-10-16 11:49 被阅读0次

    官方介绍:
    TRS内容管理系统,即TRS WCM是一款面向政府、媒体和企业等行业用户的内容管理平台,支持在云计算架构上进行集群化部署,并且支持内容管理云服务模式,为不同的、多级组织机构提供内容丰富、形式多样、可扩展的内容管理云服务,具有与社交媒体融合、一次采编/多渠道发布、碎片化发布、可视化专题制作、富媒体内容管理等功能特点。

    今天做复测时复现了该漏洞,TRS WCM 6.x已经是很多年前的系统了,这个漏洞也是n年前公布的,也是刚接触到,所以记录一下。

    0x00 复测

    首先访问 http://xxx/wcm/app/login.jsp,确定是6.x版本


    访问 http://xxx/wcm/services,发现templateservicefacade服务存在writeFile和writeSpecFile

    0x01 利用

    使用SoapUI操作接口,
    http://xxx/wcm/services/trs:templateservicefacade?wsdl



    打开writeFile的request,参数1可以随意输入base64,参数2为上传后缀名,返回数据中暴露了物理地址

    打开writeSpecFile的request,参数1为写入内容的base64编码,参数2为绝对路径
    绝对路径为:/opt/TRS/TRSWCMV65/Tomcat/webapps/wcm/demo/index.jsp
    上传内容为:Jmx0OyVvdXQucHJpbnQoImhlbGxvIHdvcmxkIik7JSZndDs=(<%out.print("hello world");%>)


    0x02 中间的坑

    1、writeSpecFile是会覆盖文件的,这点注意
    2、上传的文件访问会验证登录,但下面几个上传位置通常不会验证,~/wcm/index.jsp,~/wcm/demo/index.jsp,~/wcm/include/login.jsp

    相关文章

      网友评论

          本文标题:TRS WCM 6.x任意文件写入

          本文链接:https://www.haomeiwen.com/subject/vrhzpktx.html