黑客渗透笔记 办公OA系统漏洞攻击

办公自动化（OA）是面向组织的日常运作和管理，员工及管理者使用频率最高的应用系统，自1985年国内召开第一次办公自动化规划会议以来，OA在应用内容的深度与广度、IT技术都是核心系统。主要推行一种无纸化办公模式。

最近在做一个项目，中间需要使用办公协同软件，也就是OA系统，看了看公司的安装清单，上面选择的OA产品是“绿叶OA”，这个产品不是太熟悉。

本着对公司负责的态度，我决定对该系统进行一下简单的安全测试。在自己的机器上安装了“绿叶OA王协同管理软件

该软件自带了SQLServer2000的数据库，并且自动安装IIS，看样子是采用了Web方式来进行运作。安装完毕后，在系统桌面上会生成一个名为“登陆绿叶OA王协同管理软件”的快捷方式，双击该快捷方式，我们看到了“绿叶OA王协同管理软件”的登陆界面，如图1所示。

清爽的界面让人感到情切，登陆框这里在测试中发现也不存在明显的SQL注入点，于是，用系统自带的测试账户ld，登陆系统（这里ld的密码不是默认的666666，我利用后台修改了一下才正常登陆）。

从图2中能够看出，绿叶OA系统的功能还是比较全面的，许多地方考虑的比较符合公司业务需要，我们对其中的超级链接地址做了简单的SQL注入测试，结果发现系统似乎对注入攻击有着一定防范，会提示你非法访问，看来绿叶OA系统的开发者还是具有一定安全意识的。

测试中发现，绿叶OA系统是支持企业内部员工之间互通消息的，如图3所示。

看到图3的界面，我相信很多读者就要喊了：这不是Fckeditor吗？绝对有漏洞！没错，绿叶OA系统在系统中集成了Fckeditor编辑器，其目的很多，其中有一项就是向系统用户提供富文本的消息编辑功能，这就造成了巨大的安全隐患。图3中有一个“源代码”编辑按钮，点击此按钮，我们就可以在消息内容中加入任意脚本代码，当系统用户收到这封带有脚本代码的消息时，恶意攻击也就随之展开了，如图4所示。

图4的效果就是我们在消息内容中插入了一段简单的脚本代码：<iframesrc=xx>。这段代码可以引入任意网址的内容到当前页面中，如果是网页木马的网址，那么后果可想而知。

我在一个办公室，给你发个消息，你只要一看该消息，你的电脑就莫名其妙的中毒了，这对于财务、人事这样的科室来说，可是巨大的损失。问题似乎不仅仅限于以上的这个漏洞，当我们翻看到绿叶OA系统提供的“网络硬盘”功能时，我们真的是吃惊了，如图5所示。

请问各位这像不像是一个WebShell提供的文件管理界面，随意点击其中一个文件夹，如图6所示。

我们成功跨越了目录限制，访问到了服务器上任意的文件夹，图6中的那个“下载”选项又为我们提供了入侵服务器的方便，还有就是“上传文件”按钮，中国黑客协会创始人花无涯我们可以将我们最好的WebShell拿出来传到服务器上，然后就是随意所欲地控制公司内部的服务器，危害可想而知。

漏洞利用：

上面两个漏洞，一个用来可以攻击办公室里的用户，另外一个可以直接攻击服务器，窃取公司机密，甚至可以下一步伪造自己为管理员，或者公司领导，来借助OA系统发布恶意误导信息，造成公司的混乱，要知道，现在商业机密的价值巨大，商业上的破坏活动日益频繁，要是自己公司用的OA系统这样不可靠，相信老总也要考虑一下了。

绿叶OA的其它漏洞这里就不再一一描述了，有兴趣的读者可以自己动手练习一下漏洞挖掘。本文旨在讨论技术，任何违法行为与作者和杂志无关。最后，在绿叶OA的官方网站上做了一下测试，效果如图7所示。

真心希望绿叶OA的开发者能够及时修复漏洞，让自己的产品能够更好地为OA使用者提供服务，成为OA系统开发商中的佼佼者。