通达oa远程命令执行

admin 2023年2月16日23:01:27评论25 views字数 1384阅读4分36秒阅读模式


通达oa远程命令执行

声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

突破背景

通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。3月13日,通达OA在官方论坛发布公告称号,近日接收用户反馈阻止勒索病毒攻击,攻击者通过构造恶意请求,上传webshel l等恶意文件,入侵入侵的服务器进行文件加密,勒索高额匿名货币赎回金。

影响范围

该突破影响范围较广,影响的版本有:V11版,2017版,2016版,2015版,2013增强版,2013版。

复现

下载使用了通达OA V11.3版本。

链接:https://pan.baidu.com/s/1HP5pDsAK2QLOWpnB1JX-Yg 提取码:vab0 

是个exe,安装解压完是php代码。

用Sublime打开,都是16二进制加密

用notepad打开显示,zend加密

php在线解密网站解密出源代码。

文件上传

ispirit/im/upload.php

通达oa远程命令执行

要上传首先需要绕过登陆验证,在本系统中auth.php是登陆验证的相关逻辑,但在upload.php的的未修复前,如果$ P非空就不需要通过auth.php验证,即可执行后续代码。利用此处逻辑伸缩可绕过过登陆验证直接上传文件。

通达oa远程命令执行跟进上传方法,发现有个文件名校验函数is_uploadable。

通达oa远程命令执行跟进is_uploadable的方法。
通达oa远程命令执行查看该函数的代码逻辑,如果文件名从最后一个位置倒数三个是“ php”,那么返回false,也就是不可以上传以php结尾的文件。生成

请求包:

通达oa远程命令执行经过下载原始码测试,上传后的文件在MYOA/attach/im/2006/目录下

通达oa远程命令执行因上传后的文件不在根目录,所以无法直接利用,因此需要进行文件包含。

文件包含

参考资料,该文件包含漏洞存在于源码ispirit/interface/ gateway.php。查看该处源码

通达oa远程命令执行

通过foreach循环解析json,如果键和URL重合,那么获得的URL,判断URL是否为空,如果不为空且url中包含general/,ispirit/,module/,就调用include_once函数。

所以payload可以构建为:

通达oa远程命令执行

返回结果:

通达oa远程命令执行命令执行至此结束。

shell获取

将文件上传的过程改写成如下有效负载:

通达oa远程命令执行

通过文件包含调用该文件,生成a.php

通达oa远程命令执行菜刀链接一下

通达oa远程命令执行

加固建议

第一处补丁补上了文件上传漏洞,无论参数是否为空,都要进行认证。
第二处补丁将“ ..”过滤掉了,如果url中出现该符号,结束掉程序。
官网最新补丁:http://www.tongda2000.com/news/673.php

poc

python:

通达oa远程命令执行通达oa远程命令执行通达oa远程命令执行

通达oa远程命令执行



E


N


D




通达oa远程命令执行


guān


zhù



men



Tide安全团队正式成立于2019年1月是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

对安全感兴趣的小伙伴可以关注团队官网: http://www.TideSec.com 或长按二维码关注公众号:

通达oa远程命令执行


通达oa远程命令执行

原文始发于微信公众号(白帽子):通达oa远程命令执行

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月16日23:01:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   通达oa远程命令执行https://cn-sec.com/archives/1277268.html

发表评论

匿名网友 填写信息