MOVEit 转移

通过将所有关键业务文件传输整合到一个系统上,确保对业务关键文件传输的管理和控制。利用 MOVEit Transfer 的文件加密、安全性、防篡改记录、活动跟踪和集中访问控制来满足您的操作要求。可靠且轻松地遵守 SLA、内部治理要求和法规,例如 PCI、HIPAA、CCPA 和 GDPR。

Moveit Transfer 是企业将文件传输合并到一个系统中的软件,也适用于其中的加密。


 
 

SHODAN搜索

html:"human.aspx"



 
 

安装和许可问题

Moveit Transfer 的安装要求并不太高,而且 Moveit Transfer 也提供试用许可证,所以安装开始看起来比较简单。

我们遇到的第一个问题是 Ipswitch 仅提供完整安装程序版本。这意味着,需要安装新版本并将其插入旧版本,而不是安装补丁。至于安装,我们发现他们的压缩包中有一个捆绑版本,所以可以通过更改路径中的版本来下载。但是当我们安装它时,我们发现了另一个更大的问题......

遇到的第二个问题,License 只能在最新版本中使用。我们尝试解压缩 DLL 而不是安装,但无济于事(可能是因为我们没有正确反转它)。

因此,分析陷入拥塞只是因为……没有正确的许可证版本。
 

差异分析

为了分析漏洞,我们需要收集所有的DLL文件并对其进行反编译,将它们与旧版本进行比较,以确定哪个是Vendor修补的点。

通过反编译对比,我们得到了很大的不同,可能是由于版本不同。我们快速浏览了一下,发现了很多固定的语句,看起来与 SQL 注入有关,但几乎都属于 MoveitApplication,它是系统的应用程序部分,需要身份验证才能访问它们。也就是说,有必要查看所有更改的语句,而不仅仅是查找与 SQL 注入直接相关的修改语句。

我们发现它在midmz.dll没有查看所有更改的情况下。再深入分析一下,我们发现 SAML 的 SSO 相关的 API 在下一步处理之前有一个转义 XML。也许这里有漏洞!
 
 

字母 SAML 协议

单点登录 (SSO) 是一种解决方案,它允许用户在一个点简单地登录以登录到不同的系统,而无需创建新帐户。

SAML 协议是处理服务 SSO 的身份验证和授权的标准。此外,最常见的标准是 OAuth,但它只处理授权。

SAML 组件包括 User-Agent、Service Provider、Identity Provider。

SAML的流程简述如下图






当用户代理将 SAML 响应从识别提供者发送回回调时,服务提供者需要对其进行验证。
 
 

SQL 注入漏洞

深入了解 SSO 功能。服务器将收到 SAML Response 并通过 Handler 进行处理。





我们还注意到他们自己实现了 SAML 解析器。




这个信息是解析器直接从Attribute中获取的,XML的Element就是返回的SAML Response。





由于没有进一步处理,直接输入 SQL Query 查询数据库中的这些字段时,会导致 SQL Injection 漏洞。





下一个版本他们通过使用SILUtility.XHTMLClean()转义特殊值来修复它。





不仅这个 InResponse 值和 Login SSO 端点,而且我们还看到它们修补了许多其他值和位置。