某通用管控平台编辑器SSRF到Axis RCE漏洞分析

"某通用流程化管控平台编辑器存在SSRF漏洞，通过该漏洞可以进一步利用Axis服务的RCE漏洞进行远程代码执行。" 在本文中，我们探讨了一次针对某通用流程化管控平台的安全研究之旅，该平台的一个编辑器存在严重的安全问题，可能导致系统被攻击者利用。首先，作者指出平台的/manage/index.jsp页面会直接列出所有当前的session ID，这为攻击者提供了便利，他们可以通过获取在线用户的session ID来模拟登录这些用户，从而获得对系统的非法访问权限。 接着，作者进入系统后发现一个手机端主页/mobile/phone/main.jsp以及一些报表页面，但遗憾的是，这些页面并没有直接的远程代码执行（RCE）点。然而，他们在系统中发现了一个Axis服务，这是一个广泛应用的Web服务框架，旧版本的Axis（如1.4）存在远程代码执行漏洞。尝试利用已知的payload进行攻击时，系统返回错误提示，表明远程用户访问被禁止。 关键的突破点在于发现了一个名为ueditor的编辑器组件，具体版本为/common/ueditor1_3_5-utf8/。这个编辑器存在服务器端请求伪造（SSRF）漏洞，即/getRemoteImage.jsp接口允许上传远程图片。攻击者可以利用这个SSRF漏洞，通过构造特定的请求，绕过系统限制，调用本地的Axis服务执行任意代码。 通过结合ueditor的SSRF漏洞和Axis服务的RCE漏洞，攻击者可以构造恶意请求，将远程命令注入到Axis服务中，从而实现远程代码执行。这使得攻击者能够对受影响的系统进行深度控制，包括读取、修改或者执行系统文件，甚至可能进一步横向移动到网络中的其他系统。 为了防御此类攻击，系统管理员应该及时更新软件，确保Axis服务等关键组件运行在最新且安全的版本上。同时，对于敏感数据和操作，如session ID的管理，应加强安全控制，防止泄露。编辑器组件也应定期检查和更新，修复已知的安全漏洞。最后，实施严格的输入验证和过滤策略，防止恶意数据通过接口进入系统，是防止SSRF等漏洞被利用的关键措施。