通达oa php漏洞,通达OA-感染勒索病毒漏洞分析

最新推荐文章于 2024-06-26 17:24:11 发布
最新推荐文章于 2024-06-26 17:24:11 发布
阅读量498 收藏
点赞数
文章标签: 通达oa php漏洞
本文详细分析了通达OA系统中的两个安全漏洞,包括未授权文件上传和包含漏洞。首先,作者通过解密混淆代码发现了一个文件上传漏洞,但由于文件上传到非Web目录且不允许PHP文件,需结合文件包含漏洞利用。通过/ispirit/interface/gateway.php的include_once实现文件包含。防御方案包括及时打补丁和部署安全设备。
摘要由CSDN通过智能技术生成

原标题:通达OA-感染勒索病毒漏洞分析

No.1声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

No.2引言

开篇的首先感谢l1nk3r大佬的帮助。

前天看到通达OA官方发布的一则更新公告

http://club.tongda2000.com/forum.php?mod=viewthread&tid=128377&extra=page%3D1

20907bc1a7ebd835190ad11d7f9e2b5b.png

No.3 第一个漏洞点

下了2017版本和最新版本的代码(这里遇到了一个坑点,2017版本的相当于只有漏洞的一半,为啥是一半后面会提到)

下载地址如下:http://www.tongda2000.com/download/2017.php

打开以后发现php代码都是混淆过后的(sublime打开如下图所示,用其他编辑器打开是乱码)

9a00aa2cb77fc3226dbd581ec4bfff17.png

通达OA的代码加密方式用的是zend,网上找在线解密即可

也可以下载批量解密工具进行解密

然后我下载了对应版本的补丁包。通过查看补丁包发现主要是针对某一个文件进行补丁

然后针对未打补丁的和打补丁的进行对比查看,发现主要不同点在include_once('auth.php')这里

c38a2f2d04c66b1afa96e2c3f9fec913.png

然后查看了一下auth.php

初步推断是未授权的文件上传漏洞。

直接访问问题url提示还未登陆,然后查看源代码

然后读代码构造payload,发现他有一个$_POST[‘P']参数如果P参数不为空且存在,则会创建一个sessionid

然后我构造一个P参数,发现走到了-ERR接收方IP无效的提示

f1b0a6439faf799d3c415122dc12279c.png

很显然我需要走通这个步骤,也就是我的$DEST_UID需要赋值,来源是post传参。

df63f885ddf0c16d909a4e380e53d15e.png

既然是文件上传我肯定是需要上传文件的,所以构造上传,且不为空

bd946f3d1e58300de737e8d9f57dc1e0.png

构造好以后我以为万事俱备只缺getshell了,然后发现竟然回显ok的标志

464533a7e445a9a21bf850fb144766f3.png

说好的文件上传呢,我又回去读源代码(其实在这里也可以成功上传文件,只不过回显不了文件的名字而已)

发现UPLOAD_MODE虽未赋值,但是会加入判断。由于php代码都被加密了,解密太复杂,就没有深究他的其他配置情况。尝试构造,发现,可以成功上传,然后我去找文件,准备getshell发现2个坑点:

1.不能上传php;

2.上传的文件不在web目录下(当时我找了上传的文件找到怀疑人生,卡了挺久,还好l1nk3r大佬点出来在非web目录下)。

所以又出来了一个新点,就是这个漏洞应该是文件上传+文件包含。通过对比补丁暂未发现新漏洞中存在包含问题。又去看了其他版本通达,发现存在包含,可以文件上传+文件包含getshell文件包含形式和文件上传类似。

No.4 第二个漏洞点

咱们通过第一个漏洞上传文件以后,由于不在web目录下,利用文件包含进行包含。所以发现

/ispirit/interface/gateway.php目录下。

直接使用了include_once进行包含(问题点)

81eb2bd80d258f4084ac9f98410bfd9f.png

所示我们需要让代码走到include_once这个位置。那么开始看整段代码看如何走到

b12d396f384e53dfd2939261b33437d5.png

首先判断了一个json值。然后再判断url。所以我们需要构造一个json,还有一个url即可让代码走到include_once $url这里

构造完以后成功执行。

500b532b2259a2823e94f93d7d020f79.png

No.5 防御方案

1.关注通达OA官网,根据自身版本及时打补丁;

2.关注通达OA官网的历史漏洞及补丁,建议及时打历史补丁;

3.部署安恒玄武盾、waf等安全设备进行安全防护。返回搜狐,查看更多

责任编辑:

最暖最珍贵
关注
漏洞复现-通达OA通达OA auth_mobi.php在线用户登录漏洞
xiaokp7的博客
08-03 1072
通达OA是由北京通达信科科技有限公司自主研发的协同办公自动化系统,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等。通达OA 中存在某接口查询在线用户,当用户在线时会返回 PHPSESSION使其可登录后台系统。
php源码 乱码 通达oa_通达OA 漏洞预警
weixin_39580950的博客
12-18 359
红队掌握了通达OA的REC,提醒通达OA用户注意更新!有所谓的0day,但出了也好几天,还叫0day不合适。我看到有在群里共开发布的都已经删除了。但我们公众号不合适发布Poc,可自行在群里寻找。通达OA历史漏洞整理:通达OA 2015漏洞类型:SQL注射漏洞/inc/common.inc.php:SQL注入generaldocumentmodelsmrecv.php:注入1:访问任意文件上传漏洞路...
通达OA系统11.2漏洞
qq_50854662的博客
12-02 5202
通达OA系统11.2版本为案例的Web渗透
通达oa 不允许从该ip登陆_通达OA系统用户遭遇勒索病毒攻击的初步说明
weixin_39670627的博客
11-19 547
3月13日,火绒接到多个企业求助,在安装完“通达OA系统”某插件后,服务器内文件被病毒加密。火绒工程师紧急远程查看后,最终在用户的“通达OA”目录中发现一个使用Go语言编写的勒索病毒。根据上述迹象,火绒提醒“通达OA系统”用户注意加强安全防护,及时备份资料。目前,火绒最新版可对该勒索病毒进行拦截查杀,防止被该勒索病毒攻击。 根据分析,该勒索病毒在进入用户系统后会自动运行,并会尝试结束mysql.e...
通达OA_php反编译器
07-26
通达OA_php文件大多是编译过的,此反编译器可完美解决。
通达OA v11.5 swfupload_new.php SQL注入漏洞.md
09-07
通达OA漏洞合集
通达OA sql注入漏洞.zip
08-24
该压缩包文件“通达OA sql注入漏洞.zip”包含了与这个特定漏洞相关的材料。`README.md`文件通常会提供项目简介、如何运行和验证漏洞的步骤,以及可能的安全建议。`CVE-2023-4166.py`很可能是一个Python脚本,设计...
通达OA v2017 action_upload.php 任意文件上传漏洞.md
09-07
通达OA漏洞合集
通达OA v2017 video_file.php 任意文件下载漏洞.md
09-07
通达OA漏洞合集
通达OA安全漏洞检测工具TongdaOATool-V1.3
09-17
通达OA漏洞检测工具
通达OA_PHP的反编译器
04-13
通达OA_PHP的反编译器. Office Anywhere网络智能办公系统是适用于企事业单位的通用型网络办公软件,融合了通达科技长期从事管理软件开发的丰富经验与先进技术,该系统采用领先的 B/S(浏览器/服务器)操作方式,使得网络办公不受地域限制。
php包含漏洞源码
05-23
这是关于php的通用包含漏洞源码,需要的可以自己下载。
通达 oa 2010 php 源代码 解密
11-03
通达OA2010版本,完整general目录下php文件无加密,示例: <?php /*********************/ /* */ /* Version : 5.1.0 */ /* Author : RM */ /* Comment : 071223 */ /* */ /*********************/ include_once( "inc/auth.php" ); if ( $LOGIN_THEME != "10" ) { $query = "SELECT * from INTERFACE"; $cursor = exequery( $connection, $query ); if ( $ROW = mysql_fetch_array( $cursor ) ) { $IE_TITLE = $ROW['IE_TITLE']; } echo "<html>\r\n<head>\r\n<title>"; echo $IE_TITLE; echo "</title>\r\n<meta http-equiv=\"Content-Type\" content=\"text/html; charset=gb2312\">\r\n[removed][removed]\r\n[removed]\r\nself.moveTo(0,0);\r\nself.resizeTo(screen.availWidth,screen.availHeight);\r\nself.focus();\r\n\r\nrelogin=0;\r\nfunction exit()\r\n{\r\n if(document.body.clientWidth-event.clientX<50||event.altKey||event.ctrlKey)\r\n {\r\n"; if ( $ISPIRIT == 1 ) { echo "return;"; } echo " var req = new_req();\r\n\treq.open(\"GET\", \"relogin.php\", true);\r\n\treq.send('');\r\n }\r\n}\r\n\r\n[removed]\r\n</head>\r\n"; include_once( "inc/antivirus.txt" ); echo "<frameset rows=\"50,*,20\" cols=\"*\" frameborder=\"no\" border=\"0\" framespacing=\"0\" id=\"frame1\" <frame name=\"banner\" id=\"banner\" scrolling=\"no\" noresize=\"noresize\" src=\"topbar.php\" frameborder=\"0\">\r\n <frameset rows=\"*\" cols=\"200,*\" frameborder=\"no\" border=\"0\" framespacing=\"0\" id=\"frame2\">\r\n <frame name=\"leftmenu\" id=\"leftmenu\" scrolling=\"no\" noresize=\"noresize\" src=\"ipanel\" frameborder=\"0\">\r\n <frame name=\"table_index\" id=\"table_index\" scrolling=\"no\" src=\"table.php\" frameborder=\"0\">\r\n </frameset>\r\n <frame name=\"status_bar\" id=\"status_bar\" scrolling=\"no\" noresize=\"noresize\" src=\"status_bar\" frameborder=\"0\">\r\n</frameset>\r\n</html>\r\n"; exit( ); } include_once( "inc/utility_all.php" ); include_once( "inc/td_core.php" ); include_once( "inc/chinese_date.php" ); include_once( "inc/sys_function_all.php" ); ob_end_clean( ); 本资源(仅供技术学习,版权归原公司所有)
通达OA2017-10.16破解
10-13
通达OA2017破解补丁安装步骤: ============================= 1、到官网下载OA2017最新版服务端安装包、用户PC端办公精灵、手机端下载址:http://www.tongda2000.com/download/2017.php 2、安装OA服务端到电脑或服务器或云主机或VPS主机 3、安装完,在OA服务管理器(MYOA\BIN\monitor.exe)中关闭所有OA服务,并退出服务控制器monitor.exe。 4、替换补丁中bin和webroot里的文件。直接复制粘贴就可以。 5、到D:\MYOA\BIN目录运行monitor.exe 并启动OA所有服务 6、检查OA所有服务是否正常开启。 7、在OA服务端上打开浏览器,输入http://localhost按提示升级(如果设置了端口的,末尾加上:端口号) 如果未出现“开始升级”,请检查MYOA\webroot\attachment\update下是否有lock.txt,有测删掉后重新打开OA登录页面,点击开始升级!!! 8、登录OA后按F5刷新网页,并到【系统管理】=》【系统资源管理】=》【资源监控】=》【系统缓存数据】=》更新系统缓存数据。 9、系统管理--&a mp;gt;定时任务管理-->检查系统更新-->设置-->关闭系统更新!!!!这步一定要做!要仔细检查! 正式使用时删除演示数据 10、到【系统管理】=》【系统资源管理】=》【演示数据清理】=》根据需要全删除或只删除单位、部门、用户、工作流。然后做一次第8步刷新OA缓存。
通达OA3.0源码(非反编译)
07-20
通达OA3.0源码(非反编译)具体内容自己看了,不多说
php源码 乱码 通达oa_通达OA远程命令执行漏洞分析
weixin_32308019的博客
01-04 597
一、漏洞简介通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。3月13日,通达OA在官方论坛发布通告称,近日接到用户反馈遭到勒索病毒攻击,攻击者通过构造恶意请求,上传webshell等恶意文件,并对入侵的服务器进行文件加密,勒索高额匿名货币赎金。笔者长期从事二进制漏洞的研究...
通达oa精灵的下载步骤_通达OA高危漏洞可能感染勒索病毒的风险提示
weixin_39751076的博客
12-05 245
1. 漏洞公告近日,安恒应急响应中心监测到中国用户群最大的OA软件品牌——通达OA在官方论坛发布了紧急通知,提供了针对部分用户反馈遭到勒索病毒攻击的安全加固程序,补丁更新包括2013版、2013增强版、2015版、2016版、2017版、V11版本等,相关链接参考:http://club.tongda2000.com/forum.php?mod=viewthread&tid=128377&...
漏洞实例_通达OA远程命令执行漏洞分析_零基础黑客入门教程
最新发布
程序员六七的博客
06-26 1252
一、漏洞简介通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。
【新】通达OA前台反序列化漏洞分析
C20220511的博客
08-07 2164
通达OA作为历史上出现漏洞较多的OA,在经过多轮的迭代之后已经很少前台的RCE漏洞了。对应12系列未做过多测试,本文提到的所有漏洞在最新版的通达12.4中已修复,使用此漏洞造成的任何攻击影响均与本文作者无关。在上面的方法中会对传入的Cookie值进行签名校验,校验的方法是validateData,其中$this->cookieValidationKey是签名的key。继续跟踪loadCookies方法,在这个方法中会调用unserialize方法对传入的Cookie的值进行反序列化。
通达OA v11.8 远程文件包含漏洞分析及复现
"通达OA v11.8版本中的getway.php存在远程文件包含漏洞,该漏洞可能导致任意文件写入,影响系统安全。" ### 通达OA v11.8 getway.php 远程文件包含漏洞详解 通达OA(Tongda Office Automation)是一款广泛应用的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值