前言
本次渗透测试过程大概是这样的:通达OA前台任意用户登录-上传webshell-获取相关信息-提权cmdshell。其实过程都比较简单,主要是想记录一下本次测试过程中的几个掉坑点。
掉坑起因(通达OA前台任意用户登录)
本次测试完全是因为最近刚好有时间,在圈子里面翻大佬文章的时候,看见前阵子冒出的通达OA前台任意用户登录相关文档,然后就想自己测试一下是否能够复现。结果在测试的时候,发现真的可以实现任意用户登录,原理请参考通达OA任意用户登录分析,既然原理基本弄明白了直接上Github找个POC: 漏洞利用POC(原谅我编程能力太差0.0),弄到POC以后,就开始一顿操作猛如虎,一看权限全是登录进去就完事,就这样肯定是不甘心的,然后就想找一下上传点啥的,既然都是管理员权限了,然后就这样放弃是不可能的,这辈子都不可能的。然后就开始了漫长的掉坑之旅。。。。。。。。。。。。
掉坑过程一(上传webshell问题)
参考通达OA 前台任意用户登录漏洞getshell的文章,进行实际操作,发现有三个坑:
首先第一个坑-版本问题:此获取getshell的方式仅适用于Office Anywhere 2017版 集团版 ,也就是这样色的(其他版本由于时间关系就没有一一去测试,遇见的例如2016等版本是不行的,或许是本人菜鸡一枚,实力有限的关系,有兴趣的可以自行测试。):
然后第二个坑-路径问题:按照大佬的说法是需要先在系统管理-附件管理中添加附件管理地址,但是这个地址不能够乱添加,必须添加一个可访问有读写权限的地址。经本地测试发现在系统管理-系统信息中找到软件安装路径,例如D:\MYOA,然后再根据此路径来改附件管理地址,而且这个地址最好就是D:\MYOA\webroot,这个地址是可以直接访问并且有权限的。
最后是第三个坑-文件访问问题:仔细观察了N遍大佬的这个gif动态图都没看明白为啥他就知道访问http://url/im/2004/数字.test.php文件,在本地测试后发现,上传处因为过滤问题,过滤不严,直接在文件名后面加一个点"."即可绕过上传,例如test.php,直接改为test.php.即可上传成功,上传上去以后,这个文件会存在上一步设置的附件管理的路径下生成一个名为im的文件夹,这个文件夹中还有一个名为2005的文件夹,上传的文件就在这里面,被生成了这样一个文件:123456789.test.php,这个数字就是上传后,返回包中id参数的后面一段,如图:(直接借用一下大佬的图了,比较懒0.0)
就是图中标记的这一段数字,完整路径就是http:url/im/2005/123456789.test.php
掉坑过程二(cmdshell提权问题)
经过一阵倒腾后,终于成功拿到webshell。别说,通达OA只要拿到webshell后,权限还挺大,但是某些命令被禁用了,例如net user,如图所示:
然后开始了各种倒腾都不行,准备尝试mysql数据库提权,使用UDF提权,结果还是无法创建用户,这里有一个坑点,创建用户时,使用简单密码系统会直接不让你创建,所以导致我一直无法创建成功,使用强密码即可,如图:
然后添加到管理员组,如图:
最后登录成功,如图:
到此结束,后续还可以进行内网横向的操作,但是本次由于时间等原因就不进行向下的操作了。
总结
看了文章以后,需要自己去亲自测试一番才知道哪些位置有坑,针对通达OA2017集团版本已经测试可行,但是其他版本还需要测试后才知道是否通用。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
