通达oa2019服务器性能提升,通达OA 2019漏洞分析

最新推荐文章于 2023-08-07 17:22:44 发布
最新推荐文章于 2023-08-07 17:22:44 发布
阅读量1.6k 收藏
点赞数
文章标签: 通达oa2019服务器性能提升

通达OA 2019漏洞分析

0x01 概述

该漏洞被黑产利用,用于投放勒索病毒,根据厂商补丁,进行相关漏洞分析工作。

0x02 漏洞分析

任意文件上传

在厂商补丁的其他版本中出现了ispirit/im/upload.php这个路径,跟进来一看实际上是一个很明显的文件上传漏洞,而且是未授权的文件上传,分段来看一下代码。

先看未授权部分,P不为空的情况下,包含inc/session.php,并且通过 session_id 注册 session ,P可通过 POST[‘P’] ,因此不多赘述。

1

2

3

4

5

6

7

8$P = $_POST["P"];

if (isset($P) || ($P != "")) {

ob_start();

include_once "inc/session.php";

session_id($P);

session_start();

session_write_close();

}

再看下面这一小段,假设 DEST_UID 为空的情况下,会直接返回接收方ID无效相关信息,并且退出,因此这里的处理方式也很简单, DEST_UID 可通过 POST[“DEST_UID”] 搞定,这里也不多赘述了。

1

2

3

4

5

6

7$DEST_UID = $_POST["DEST_UID"];

$dataBack = array();

if (($DEST_UID != "") && !td_verify_ids($ids)) {

$dataBack = array("status" => 0, "content" => "-ERR " . _("接收方ID无效"));

echo json_encode(data2utf8($dataBack));

exit();

}

再往下走,当$_FILES全局变量大于等于1的时候,简单理解就是有文件上传的时候,会调用 upload 函数进行处理,这里的文件上传的 name 为name="ATTACHMENT"

1

2

3

4

5

6

7

8if (1 <= count($_FILES)) {

if ($UPLOAD_MODE == "1") {

if (strlen(urldecode($_FILES["ATTACHMENT"]["name"])) != strlen($_FILES["ATTACHMENT"]["name"])) {

$_FILES["ATTACHMENT"]["name"] = urldecode($_FILES["ATTACHMENT"]["name"]);

}

}

$ATTACHMENTS = upload("ATTACHMENT", $MODULE, false);

跟进 upload 方法,可以很明显看到 is_uploadable 这个方法针对上传的文件名进行判断。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15function upload($PREFIX, $MODULE, $OUTPUT)

{

if (strstr($MODULE, "/") || strstr($MODULE, "\\")) {

if (!$OUTPUT) {

return _("参数含有非法字符。");

}

Message(_("错误"), _("参数含有非法字符。"));

exit();

}

...

if ($ATTACH_ERROR == UPLOAD_ERR_OK) {

if (!is_uploadable($ATTACH_NAME)) {

$ERROR_DESC = sprintf(_("禁止上传后缀名为[%s]的文件"), substr($ATTACH_NAME, strrpos($ATTACH_NAME, ".") + 1));

}

很明显存在一个后缀名非法的判断,所以这点并不能直接上传PHP文件。

1

2

3

4

5

6

7

8

9

10

11function is_uploadable($FILE_NAME)

{

$POS = strrpos($FILE_NAME, ".");

if ($POS === false) {

$EXT_NAME = $FILE_NAME;

}

else {

if (strtolower(substr($FILE_NAME, $POS + 1, 3)) == "php") {

return false;

}

继续往下走,因为上传不回显的话,搞定了也没啥用,还得猜文件名麻烦,找到了一个回显的地方。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15if ($UPLOAD_MODE == "1") {

...

if ($MSG_CATE == "file") {

$CONTENT = "[fm]" . $ATTACHMENT_ID . "|" . $ATTACHMENT_NAME . "|" . $FILE_SIZE . "[/fm]";

}

else if ($MSG_CATE == "image") {

$CONTENT = "[im]" . $ATTACHMENT_ID . "|" . $ATTACHMENT_NAME . "|" . $FILE_SIZE . "[/im]";

}

else {

$DURATION = intval($DURATION);

$CONTENT = "[vm]" . $ATTACHMENT_ID . "|" . $ATTACHMENT_NAME . "|" . $DURATION . "[/vm]";

}

...

$dataBack = array("status" => 1, "content" => $CONTENT, "file_id" => $FILE_ID);

echo json_encode(data2utf8($dataBack));

构造 poc 上传之后,这里可以看到1436405170|shell.jpg这个内容,那么它对应的文件名是1436405170.shell.jpg

db28b8b0834eddbb2a1c64be3e2954a8.png

然后尴尬的事情发生了,上传的文件即使不能是PHP也不在web目录下,它的路径是/attach/im/2003/filename。

7a24a64eaf2c82535a971cfc5797f774.png

文件包含

也就是说上面的漏洞要达到RCE的目的,还需要一个文件包含,包含点从补丁上找找,是这个ispirit/interface/gateway.php。

简单分析一下,解析一个循环解析$json,假设$key是 url 的情况下,它的值会丢给$url,之后会调用 include_once 针对这个进行包含了。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27if ($json) {

$json = stripcslashes($json);

$json = (array) json_decode($json);

foreach ($json as $key => $val ) {

if ($key == "data") {

$val = (array) $val;

foreach ($val as $keys => $value ) {

$keys = $value;

}

}

if ($key == "url") {

$url = $val;

}

}

if ($url != "") {

if (substr($url, 0, 1) == "/") {

$url = substr($url, 1);

}

if ((strpos($url, "general/") !== false) || (strpos($url, "ispirit/") !== false) || (strpos($url, "module/") !== false)) {

include_once $url;

}

}

所以从代码来看非常的简单,简单提一嘴,这套代码有 disable_function 的限制,需要bypass一下,整个过程非常的简单。

230c716b42f897a0dd462793227fe450.png

0x03 漏洞修复

修复的话,到这里下补丁就好了,这套系统漏洞贼多,有兴趣的可以看看,代码是PHP zend 5.4加密的,百度一下就能解开了。

圆滚滚的豆豆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通达OA v11.9 getdata任意命令执行漏洞复现+利用
0xSec
03-21 4798
通达OA v11.9 getdata接口存在任意命令执行漏洞,攻击者通过漏洞可以执行服务器任意命令控制服务器权限。
【全网首发】通达OA2017 10.19.190522 WebSign_trial.dllV4.5.1.2签章最新版本破解
07-30
【全网首发】通达OA2017 10.19.190522 WebSign_trial.dll V4.5.1.2签章最新版本破解 1、如果已经安装其他版本或者试用版,需要先关闭所有浏览器和退出OA精灵,再去C:\Windows\Downloaded Program Files\下面删除WebSign_trial.dll或者WebSign.dll 2、如果服务器上有D:\MYOA\webroot\module\websign\websign.dll和ver.php文件,需要先把这2个文件改名,否则浏览器不会加载WebSign_trial.dll 3、此签章为2017 10.19.190522提取破解,签章版本V4.5.1.2,为目前最新版本,支持OA2017版,理论支持2016及较早版本。 4、服务端和客户端安装与使用见使用说明.txt和通达OA流程中心与工作流签章根证书安装说明.doc 5、此签章仅供学习交流,商业用途请购买正版。
通达oa系统存在任意用户登陆漏洞复现
炙热的酷盖
08-05 369
登陆账号 下载poc https://github.com/NS-Sp4ce/TongDaOA-Fake-User 在下载路径输入cmd命令回车 输入执行命令 bp抓包 发送到repeater,将PHPSESSID的值替换成上述poc得到的cookie,从下面的reader和response中可以看出登陆成功 ...
网络安全漏洞分析小结
kali_Ma的博客
01-23 6114
(一) 前言 这里感谢师傅前面整理的通达OA一些版本的漏洞复现,这里从漏洞点出发,分析漏洞,从中学些一些师傅白盒挖掘漏洞的思路。 ​ 安装包下载地址,可以通过枚举版本号下载对应的安装包: https://cdndown.tongda2000.com/oa/2019/TDOA11.4.exe https://www.tongda2000.com/download/down.php?VERSION=2019&code= 安装教程为傻瓜式一键安装,这里不细说。 默认账号密码admin/(空) 【一&
通达OA 11.7 后台sql注入getshell漏洞复现
Adminxe的博客
09-23 1535
0x00 漏洞描述 通达OA 11.7存在sql注入 0x01 漏洞影响版本 通达oa 11.7 利用条件:需要账号登录 0x02 漏洞复现 1、下载通达OA 11.7,https://cdndown.tongda2000.com/oa/2019/TDOA11.7.exe,点击安装 2、condition_cascade参数存在布尔盲注 POC: GET /general/hr/manage/query/delete_cascade.php?condition_cascade=se...
通达OA任意文件删除/OA未授权访问+任意文件上传RCE漏洞复现
Adminxe的博客
09-22 1472
0x00 简介 通达OA采用基于WEB的企业计算,主HTTP服务器采用了世界上最先进的Apache服务器性能稳定可靠。数据存取集中控制,避免了数据泄漏的可能。提供数据备份工具,保护系统数据安全。多级的权限控制,完善的密码验证与登录验证机制更加强了系统安全性。 今天看了好多通达OA的文章,根据护网中出现的一些0day,进行一波分析,其中感觉9hu大佬分析的很到位,然后来以此为基准,一起来看一下这个影响较深的漏洞。然后我自己感觉,出现的漏洞只是表面的一些,其中还有肯定是未公布的,包括我之前在别的版本审..
【新】通达OA前台反序列化漏洞分析
C20220511的博客
08-07 1770
通达OA作为历史上出现漏洞较多的OA,在经过多轮的迭代之后已经很少前台的RCE漏洞了。对应12系列未做过多测试,本文提到的所有漏洞在最新版的通达12.4中已修复,使用此漏洞造成的任何攻击影响均与本文作者无关。在上面的方法中会对传入的Cookie值进行签名校验,校验的方法是validateData,其中$this->cookieValidationKey是签名的key。继续跟踪loadCookies方法,在这个方法中会调用unserialize方法对传入的Cookie的值进行反序列化。
通达OA 通达服务器遇到在线200人速度变慢瓶颈的简要分析
小飞鱼通达 二开
04-01 3908
今天,通达OA技术交流群里一位朋友提出他们的服务器当人数达到200时,速度会变慢的问题。经过群里大家的讨论得出一些相关分析方法及经验,这里记录一下以便后续继续深入探讨研究。OA版本:2010硬件配置:IBM 3650 M4,2CPU,16G内存系统:Windows Server 2008主要应用模块:邮件,其它模块未启用。每人分配200M邮箱空间,有一部分人邮箱空间大小无限制。
通达OA header身份认证绕过漏洞利用工具
12-25
通达OA header身份认证绕过漏洞利用脚本,可以检测漏洞是否存在并生成可用的cookie
通达OA v11.6 insert SQL注入漏洞.md
09-07
通达OA漏洞合集
通达OA前台任意用户登录漏洞.md
09-07
通达OA漏洞合集
通达OA v2017 video_file.php 任意文件下载漏洞.md
09-07
通达OA漏洞合集
通达OA综合利用工具通达OA综合利用工具
03-29
**通达OA综合利用工具_20200224** ## 集成POC如下 任意用户登录POC: 4个 SQL注入POC: 2个 后台文件上传POC: 3个 本地文件包含POC: 2个 前台文件上传POC(非WEB目录): 1个 ...
通达OA2019安装教程
11-29 3174
通达OA2019安装步骤: ============================= 1、到官网下载OA2019最新版服务端安装包、用户PC端办公精灵、手机端下载址:https://cdndown.tongda2000.com/oa/2019/TDOA11.6.exe 2、安装OA服务端到电脑或服务器或云主机或VPS主机 3、安装完,在OA服务管理器(MYOA\BIN\monitor.exe)中关闭所有OA服务,并退出服务控制器monitor.exe。 4、替换补丁中bin和webroot里的文件。直.
通达OA前台任意用户登录漏洞复现
weixin_60508121的博客
11-07 2022
isIE=0&modify_pwd=0,抓包,替换cookie中的PHPSESSID参数,放包,成功登录。通达OA是一套国内常用的办公系统,此次安全更新修复的高危漏洞为任意用户登录漏洞。1、下载https://cdndown.tongda2000.com/oa/2019/TDOA11.4.exe,安装,访问,如下,安装成功。2、下载poc,https://github.com/NS-Sp4ce/TongDaOA-Fake-User。通达OA 2017版本。
通达OA2019升级到V12的操作方法
08-13 1669
通达OA2019升级到V12的操作方法
通达OA系统2019版流程中心,外部表单提交数据到指定流程第一步
牧羊老人
11-24 1861
通达OA 2019版 流程中心 业务引擎 流程 表单提交数据到OA
android手机应用源码Imsdroid语音视频通话源码.rar
最新发布
05-20
android手机应用源码Imsdroid语音视频通话源码.rar
通达oa 下载接口漏洞
12-08
通达OA是一款办公自动化系统,用于企业的办公管理和文件协作。然而,近期发现通达OA存在下载接口漏洞,可能导致系统中的敏感文件被未经授权的访问。 这个漏洞可能会使得恶意攻击者通过下载接口获取到一些重要的文件,例如公司员工的个人信息、财务报表、商业合同等敏感文件。一旦这些文件被泄露,将对公司的经营和员工的个人隐私造成严重影响。 为了解决通达OA下载接口漏洞,首先需要立即停止使用受影响的版本,暂时关闭下载接口并通知所有使用该系统的用户,提醒他们注意文件的安全性。同时,通达OA的开发者需要尽快发布更新版本来修复漏洞,加强系统对文件下载接口的安全控制,确保未经授权的用户无法下载到敏感文件。 除此之外,公司需要加强内部文件权限管理,限制员工对敏感文件的访问和下载权限。并且,定期对系统进行安全审计和漏洞扫描,及时发现和解决潜在的安全风险。 总之,通达OA下载接口漏洞是一项安全隐患,需要公司和通达OA的开发者共同合作,采取有效的措施加固系统安全,保护公司的重要文件和数据不被泄露。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值