通達OA任意文件刪除/OA未授權訪問+任意文件上傳RCE漏洞復現
一、簡介
通達OA采用基於WEB的企業計算,主HTTP服務器采用了世界上最先進的Apache服務器,性能穩定可靠。數據存取集中控制,避免了數據泄漏的可能。提供數據備份工具,保護系統數據安全。多級的權限控制,完善的密碼驗證與登錄驗證機制更加強了系統安全性。
二、漏洞描述
該漏洞是由於print.php存在任意文件刪除漏洞,通過刪除通達OA身份認證文件auth.inc.php達到繞過登錄限制, 結合任意文件上傳達到RCE的效果
三、影響版本
通達OA<v11.5&v11.6版本(任意文件刪除僅影響11.6、未授權訪問影響<11.5)
四、漏洞環境搭建
1、下載,https://cdndown.tongda2000.com/oa/2019/TDOA11.6.exe、https://cdndown.tongda2000.com/oa/2019/TDOA11.4.exe
2、在Windows下直接雙擊安裝,OA管理員用戶名:admin 密碼為空
3、解密工具下載
通達OA11.6及解密工具:
鏈接: https://pan.baidu.com/s/1Wh9g4Xp1nIqZ5zPRt8rARg 密碼: 77ch
五、漏洞復現
1、exp下載,https://github.com/admintony/TongdaRCE
2、運行腳本
3、使用冰蠍連接
4、安裝tongda 11.4,利用oa未授權漏洞結合任意文件上傳getshell
5、使用冰蠍連接
六、漏洞分析
1、print.php存在任意文件刪除漏洞,打開print.php可以看到沒有做任何限制可以直接訪問該頁面http://192.168.77.128/module/appbuilder/assets/print.php
2、分析代碼,發現可控參數guid,構造poc(以刪除1111.txt為例證明任意刪除漏洞存在),http://192.168.77.133/module/appbuilder/assets/print.php?guid=../../../webroot/1111.txt,發現1111.txt不存在,證明存在任意文件刪除漏洞
3、查看auth.inc.php文件,該文件是通達用於做身份驗證的,需要登錄訪問的文件都會將它包含進來
4、查看upload.php,該處存在任意文件上傳,poc:/general/data_center/utils/upload.php?action=upload&filetype=nmsl&repkid=/.<>./.<>./.<>./奈何代碼水平太差,看的很迷茫,有興趣的參考https://mp.weixin.qq.com/s/GALcUWwt2M5_B_3iDSDq7g
七、漏洞修復建議
升級版本