T1190-泛微OA任意文件读取

来自ATT&CK的描述

使用软件，数据或命令来利用面向Internet的计算机系统或程序中的弱点，从而导致意外或无法预期的行为。系统的弱点可能是错误、故障或设计漏洞。这些应用程序通常是网站，但是可以包括数据库（例如SQL），标准服务（例如SMB 或SSH）以及具有Internet可访问开放的任何其他应用程序，例如Web服务器和相关服务。根据所利用的缺陷，这可能包括“利用防御防卫”。

如果应用程序托管在基于云的基础架构上，则对其进行利用可能会导致基础实际应用受到损害。这可以使攻击者获得访问云API或利用弱身份和访问管理策略的路径。

对于网站和数据库，OWASP排名前10位和CWE排名前25位突出了最常见的基于Web的漏洞。

测试案例

泛微云桥（e-Bridge）是上海泛微公司在”互联网+”的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的系统集成中间件。泛微云桥存在任意文件读取漏洞，攻击者成功利用该漏洞，可实现任意文件读取，获取敏感信息。

影响范围

2018-2019多个版本

检测日志

HTTP

测试复现

第一步：/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///C:/&fileExt=txt(windows)、使用/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///etc/passwd&fileExt=txt(linux)获取返回包有id字符串；

第二步：通过id值获取文件内容(/file/fileNoLogin/id)

测试留痕

可参看此文章：https://www.cnblogs.com/yuzly/p/13677238.html

检测规则/思路

Suricata规则

alert http any any -> any any (msg:"泛微OA任意文件读取-rsq";flow:established,to_server;content:"GET";http_method;content:"/wxjsapi/saveYZJFile?fileName=test&downloadUrl=";startswith;pcre:"/&fileExt=txt/";flowbits:set,first_get_rsq;noalert;http_uri;reference:url,www.cnblogs.com/yuzly/p/13677238.html;classtype:web-application-attck;sid:1;rev:1;)

alert http any any -> any any (msg:"泛微OA任意文件读取-resp";flow:established,to_client;content:"200";http_stat_code;content:"filepath";http_server_body;flowbits:isset,first_get_rsq;flowbits:set,first_get_resp;noalert;sid:2;rev:1;)

alert http any any -> any any (msg:"泛微OA任意文件读取";flow:established,to_server;content:"GET";http_method;content:"/file/fileNoLogin/";http_uri;flowbits:isset,first_get_resp;sid:3;rev:1;)

建议

流量+安全设备比较容易检测到此攻击行为

参考推荐

MITRE-ATT&CK-T1190

https://attack.mitre.org/techniques/T1190/

泛微云桥e-Bridge-任意文件读取漏洞

https://www.pianshen.com/article/15362003109/