0X01 漏洞描述
通達OA是由北京通達信科科技有限公司自主研發的一套協同辦公自動化系統。2020年3月披露了其存在的 "文件上傳&文件包含“ 漏洞,這兩個漏洞在利用的過程中是相輔相成的。攻擊者可在未授權的情況下通過文件上傳漏洞上傳圖片木馬文件,之后通過文件包含漏洞包含上傳的圖片馬,實現遠程命令執行,且攻擊者無須登陸認證即可完成攻擊。
官網地址:www.tongda2000.com
0X02 漏洞影響
tongdaOA V11
tangdaOA 2017
tangdaOA 2016
tangdaOA 2015
tangdaOA 2013 增強版
tangdaOA 2013
0X03 流量分析
該漏洞主要有服務端的兩個文件引起,分別是:
文件上傳:/ispirit/im/upload.php
文件包含:/ispirit/interface/gateway.php(注:有些版本gateway.php路徑不同,2017版本:/mac/gateway. php)
1、文件上傳利用:
利用該漏洞時,攻擊者將使用POST方法向”/ispirit/im/upload.php“上傳一個精心構造的圖片文件。
流量特征:傳遞參數P或參數P的值不為空即可繞過身份認證,且DEST_UID不為空,同時不能是以php為后綴的文件。
請求頭:以POST方式請求/ispirit/im/upload.php,基本可以判定為通達OA文件上傳
請求體:文件格式為圖片,且包含參數 ”P“ 、”DEST_UID“、”UPLOAD_MODE“
響應包:返回200 OK,且響應體中包含重命名后的文件名,為一串隨機數字,即表示當前系統存在文件上傳漏洞。
(注:上傳后的文件存放路徑:/attach/im/2003/)
2、文件包含利用:
利用該漏洞時,攻擊者會通過POST方式傳遞 JSON 格式的已上傳圖片馬的 URI ,從而達到命令執行。
流量特征:不傳遞參數P即可繞過認證,同時 JSON 格式的 URI 請求數據中需要包含general/、ispirit/、module/三者中的一個。
請求:以POST方式請求/ispirit/im/upload.php,請求體為JSON格式的URI,且URI包含 general/、ispirit/、module/三者中的一個,且含有命令執行語句。
響應:響應200 OK,響應體中返回命令執行的結果,即表名存在文件包含漏洞且利用成功。
0X04 漏洞修復建議
更新官方補丁