1. 黑客安全网-互联网安全媒体信息综合平台首页
  2. 分类阅读
  3. 网络安全

通达OA漏洞复现分析

Part 1

PS:本文仅用于技术讨论与分析,严禁用于任何非法用途,违者后果自负。

昨晚在朋友圈看到有人发了一个通达OA的0day,但是没有去验证,直接转到了绿帽子技术交流群里。

通达OA漏洞复现分析

Part 2

今天抽空看了一下,

先到官网(https://www.tongda2000.com/)

提供的下载地址是:

通达OA漏洞复现分析

https://www.tongda2000.com/download/down.php?VERSION=2019&code=

默认提供的是11.7的最新版本,下载之后尝试失败。

Part 3

尝试更改参数下载。

通达OA漏洞复现分析

成功下载了四个版本,但是经过验证,全部不能上传webshell。在绿帽子群询问了一番,经过 和你 大佬的提醒,制定版本11.6

通达OA漏洞复现分析

下载地址:http://www.kxdw.com/soft/23114.html

部署成功之后,我使用burp代理抓包exp的请求。

通达OA漏洞复现分析

上传webshell成功,连接如图所示。

通达OA漏洞复现分析

Part 4

漏洞分析:

到目录

D:MYOAwebrootmoduleappbuilderassets

查看print.php文件

打开网页:http://dezend.qiling.org/free.html 进行解密

通达OA漏洞复现分析

内容如下:

通达OA漏洞复现分析

$s_tmp = __DIR__ . '/../../../../logs/appbuilder/logs';

对 $s_tmp 进行赋值。

$s_tmp .= '/' . $_GET['guid'];

接着又对$s_tmp 进行累加赋值。

exp中 通过../../../webroot/inc/auth.inc.php,回到上层目录,然后通过unlink() 函数删除该参数传递的文件。

我们再看一下 auth.inc.php 文件 ,为什么上传webshell之前要先把他删除呢。

通达OA漏洞复现分析

看到开头应该猜到了,这个文件是判断用户是否登陆的文件,如果没有登陆就不能上传,所以把这个文件删掉就可以成功上传webshell了

相关推荐: MongoDB赎金攻击激增将GDPR用作勒索手段

大量的攻击针对不安全的MongoDB服务器并清除其数据库。留下的票据要求赎金,否则数据将被泄露,并且业主报告了违反GDPR的情况。 由非营利性GDI基金会主席Victor Gevers跟踪,攻击者正在Internet上扫描不安全的MongoDB服务器。 一旦获…

本文为转载文章,源自互联网,由网络整理整理编辑,转载请注明出处:https://www.hacksafe.net/articles/network/3438.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注