通达OA未授权任意文件上传及文件包含导致远程代码执行漏洞
0x00 前言
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。
0x01 漏洞简介及影响版本
3月13日,通达OA在官方论坛发布通告称,近日接到用户反馈遭到勒索病毒攻击,提示用户注意安全风险,并且于同一天对所有版本发布了加固补丁。
通达OA V11版 <= 11.3 20200103
通达OA 2017版 <= 10.19 20190522
通达OA 2016版 <= 9.13 20170710
通达OA 2015版 <= 8.15 20160722
通达OA 2013增强版 <= 7.25 20141211
通达OA 2013版 <= 6.20 20141017
0x02 漏洞分析
- 根据官方补丁可以推断出大概的漏洞位置。
- 漏洞主要分为两个点,一个是文件上传,一个是文件包含。
文件上传
ispirit/im/upload.php
要上传首先需要绕过登陆验证,在本系统中auth.php是登陆验证的相关逻辑,但在upload.php未修复前,如果$P非空就不需要经过auth.php验证即可执行后续代码。利用此处逻辑漏洞可绕过登陆验证直接上传文件。
因上传后的文件不在根目录,所以无法直接利用,因此需要进行文件包含
文件包含
ispirit/interface/gateway.php
这个和上传相反,只要没有P参数即可无需验证。
未修复前,可通过精心构造json进入47行的includ_once进行文件包含。官方在补丁中增加了对”..”的过滤防止用户读取其他目录文件。
根据代码逻辑构造参数即可上传任意文件,但文件上传保存路径不在web目录中。
根据固定的目录结构可以推断出文件上传后的相对路径,组合文件上传+文件包含漏洞造成远程代码执行漏洞,且通达OA Web服务默认以系统服务方式运行(system权限),从而导致攻击者可以控制服务器权限。
0x03 修复建议
及时安装官方补丁
由于通达oa默认过滤了大部分执行命令的函数,所以想要执行命令请参考使用com组件绕过disable_function。
0x04 参考链接
http://club.tongda2000.com/forum.php?mod=viewthread&tid=128372
http://club.tongda2000.com/forum.php?mod=viewthread&tid=128377
通达OA未授权任意文件上传及文件包含导致远程代码执行漏洞相关推荐
- 通达OA文件上传+文件包含导致远程代码执行漏洞复现
漏洞说明 通达OA是一套办公系统.近日通达OA官方在其官方论坛披露了近期一起通达OA用户服务器遭受勒索病毒攻击事件并发布了多个版本的漏洞补丁.漏洞类型为任意文件上传,受影响的版本存在文件包含漏洞. 未 ...
- 通达OA未授权任意文件上传及文件包含漏洞分析学习
今年3月份通达OA爆出了文件上传和文件包含漏洞,网络上很多复现和分析的博客,今天我也来试着分析分析,据360灵腾安全实验室判断该漏洞等级为高,利用难度低,威胁程度高,所以可能比较适合代码审计的新手来练 ...
- php excel中解析显示html代码_骑士cms从任意文件包含到远程代码执行漏洞分析
前言 前些日子,骑士cms 官方公布了一个系统紧急风险漏洞升级通知:骑士cms 6.0.48存在一处任意文件包含漏洞,利用该漏洞对payload文件进行包含,即可造成远程代码执行漏洞.这篇文章将从漏洞 ...
- 通达OA v11.3 以下版本 任意文件上传加文件包含导致命令执行漏洞在线实验环境
转载自: [通达OA <= v11.3 任意文件上传+文件包含导致命令执行漏洞利用]- https://store.vsplate.com/cn/post/519/ 在线环境地址:https:/ ...
- CVE-2018-12613 --- 本地文件包含造成远程代码执行漏洞复现
0x01 了解本地文件包含 LFI(本地文件包含),是指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_o ...
- 文件上传时,文件太大会有几种被限制的情况
文件上传时,文件太大会有几种被限制的情况 近期在维护一个项目时,商户有反馈,在新增用户时会直接卡住并报错,返回一个异常,应用层没有日志,最后排查出来是nginx限制了请求的最大值. 那么整个链 ...
- java文件上传_Java文件上传细讲
什么是文件上传? 文件上传就是把用户的信息保存起来. 为什么需要文件上传? 在用户注册的时候,可能需要用户提交照片.那么这张照片就应该要进行保存. 上传组件(工具) 为什么我们要使用上传工具? 为啥我 ...
- httpclient base64 文件上传_文件上传下载
说道文件上传下载,这个业务需求并不是很复杂思想如下 1.将文件上传到 某台服务器上的指定的路径下也可以这样理解 文件上传就是将本地图片发送到别的地方,下载就是将别的地方的图片放在本地 2.将路径同文件 ...
- 踩坑 - click事件与blur事件冲突问题 input文件上传同名文件问题
前言 上周写需求遇到了一点小坑涉及到一些小细节,今天赶上没啥事总结一下分享出来. click事件与blur事件冲突问题 click事件与blur事件 blur事件: 表单事件,元素失去焦点时候触发,不 ...
最新文章
- 天际汽车牛胜福:受感知系统等影响 点对点L3将于五年后实现...
- 端午安康 | 经久熬煮,方能出“粽”
- Linux操作系统中,*.zip、*.tar、*.tar.gz、*.tar.bz2、*.tar.xz、*.jar、*.7z等格式的压缩与解压...
- Get 与 Post 【总结】 (实例:从a.html到b.aspx传值)
- Executor家族的辨析
- PyFlink + 区块链?揭秘行业领头企业 BTC.com 如何实现实时计算
- python导入模块以及类_python模块的导入以及模块简介
- Oracle 建立序列以及触发器的建立
- javascript从url中获取请求参数
- SqlServer死锁com.microsoft.sqlserver.jdbc.SQLServerException: Transaction (Process ID 52) was deadlock
- c语言中最常用的四种数据类型,计算机中有哪几种常见数据类型
- Java 正则表达式 匹配英文字母
- 2021-04-20 m_map的几个地形水深数据库安装步骤
- J2EE中用到的英语单词
- MYSQL的下载与配置安装
- python录屏实现
- 用静态KML脚本在GoogleEarth上实现动态效果
- linux将文件 abc 更名为 bca.,Linux命令行操作文本文件
- 计算机应用国防教育方向,计算机应用专业图形图像方向人才培养方案.DOC
- 计算机的心智-操作系统之哲学原理