TD OA Exp学习

环境参数

当前exp使用的是圈子社区的jar包，使用反编译jar包分析源码

源码分析

首先是TDOAFrame类，整个exp的视图都在这里编写其中重要的是获取cookie点击事件的绑定，第51行可以看到直接创建一个新对象GetCookieActionListener，传递了cookie和urltext和textArea漏洞下标的值，跟过去看看

方法在GetCookieActionListener类创建，前半部分主方法用来处理接收的cookie和url参数，actionPerformed方法用来判断当前通达OA的版本，其中调用了getVersion方法跟过去看一下判断版本的逻辑

方法在Other类声明可以看到做了一个url拼接然后判断response响应如果不为空便使用正则表达式获取urltext版本值

当我拼接过后发现出现用户未登录的提示，这里可能是版本过高导致的对应的exp输出部分，接着往下走

getSession方法用来调用4个poc获取用户session，这里的逻辑是创建一个pocArray数组用来作为调用每个poc的索引，然后进入主判断如果poc1没获取到session则i变量自增直到读完数组内的所有元素，当i大于元素长度时跳出while循环，这时候session依然没有获取到的时候进入SQLInjection.getSession方法执行sql注入获取session，大致逻辑明白以后跟过去看一下poc怎么实现的

在ArbitraryFileDeletion类实现了poc1的漏洞攻击模块，这里前置条件还是判断当前OA版本是否为11.6，然后通过Other.getVersion方法获取版本号然后获取访问rce路径的状态码赋值给flag，如果flag为真则执行任意文件删除模块进入GetShell.getShell方法，跟过去看一下

这里是对当前方法的进一步调用，接着往下走运行poc部分上传一句话木马，如果说当前OA存在该漏洞即可成功getshell

因为整个poc处理的过程都需要cookie的前置条件，这里的ArbitraryUserLogin类处理的是整个poc的cooike的获取方法

poc2是用sql注入漏洞向web服务器内写shell的逻辑然后返回一句胡木马的路径和密码

poc3利用11.7在线用户任意文件上传的poc来打

poc4利用 ispirit/im/upload.php任意文件上传+任意文件包含漏洞来实现getshell的操作，gateway.php处理文件包含单写在LocalFileIncludes类里实现

poc5利用/general/data_center/utils/upload.php实现文件上传getshell，这时候的常规poc都已打完还剩下两个sql注入poc

SQL POC

它们在SQLInjection.getSession方法内实现，跟过去看一下

poc1:/general/document/index.php/setting/keywords/index

poc2:/general/document/index.php/recv/register/insert

当最后两个sql注入poc也没获取session的时候输出获取失败的系统提示，漏洞在这里也就测试完毕了

想起来漏掉了Request类，它是用来规定当前上传文件的编码或者UA还有文件上传路径的一些，至此整个exp的流程到此结束。

本文版权归作者和微信公众号平台共有，重在学习交流，不以任何盈利为目的，欢迎转载。

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。公众号内容中部分攻防技巧等只允许在目标授权的情况下进行使用，大部分文章来自各大安全社区，个人博客，如有侵权请立即联系公众号进行删除。若不同意以上警告信息请立即退出浏览！！！

敲敲小黑板：《刑法》第二百八十五条　【非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

原文始发于微信公众号（巢安实验室）：TD OA Exp学习