0X01 漏洞描述
通达OA是由北京通达信科科技有限公司自主研发的一套协同办公自动化系统。2020年3月披露了其存在的 "文件上传&文件包含“ 漏洞,这两个漏洞在利用的过程中是相辅相成的。攻击者可在未授权的情况下通过文件上传漏洞上传图片木马文件,之后通过文件包含漏洞包含上传的图片马,实现远程命令执行,且攻击者无须登陆认证即可完成攻击。
官网地址:www.tongda2000.com
0X02 漏洞影响
tongdaOA V11
tangdaOA 2017
tangdaOA 2016
tangdaOA 2015
tangdaOA 2013 增强版
tangdaOA 2013
0X03 流量分析
该漏洞主要有服务端的两个文件引起,分别是:
文件上传:/ispirit/im/upload.php
文件包含:/ispirit/interface/gateway.php(注:有些版本gateway.php路径不同,2017版本:/mac/gateway. php)
1、文件上传利用:
利用该漏洞时,攻击者将使用POST方法向”/ispirit/im/upload.php“上传一个精心构造的图片文件。
流量特征:传递参数P或参数P的值不为空即可绕过身份认证,且DEST_UID不为空,同时不能是以php为后缀的文件。
请求头:以POST方式请求/ispirit/im/upload.php,基本可以判定为通达OA文件上传
请求体:文件格式为图片,且包含参数 ”P“ 、”DEST_UID“、”UPLOAD_MODE“
响应包:返回200 OK,且响应体中包含重命名后的文件名,为一串随机数字,即表示当前系统存在文件上传漏洞。
(注:上传后的文件存放路径:/attach/im/2003/)
2、文件包含利用:
利用该漏洞时,攻击者会通过POST方式传递 JSON 格式的已上传图片马的 URI ,从而达到命令执行。
流量特征:不传递参数P即可绕过认证,同时 JSON 格式的 URI 请求数据中需要包含general/、ispirit/、module/三者中的一个。
请求:以POST方式请求/ispirit/im/upload.php,请求体为JSON格式的URI,且URI包含 general/、ispirit/、module/三者中的一个,且含有命令执行语句。
响应:响应200 OK,响应体中返回命令执行的结果,即表名存在文件包含漏洞且利用成功。
0X04 漏洞修复建议
更新官方补丁