用户
搜索
  • TA的每日心情
    开心
    昨天 07:36
  • 签到天数: 101 天

    连续签到: 101 天

    [LV.6]常住居民II

    i春秋-见习白帽

    Rank: 3Rank: 3

    44

    主题

    91

    帖子

    2578

    魔法币
    收听
    0
    粉丝
    4
    注册时间
    2020-10-2
    发表于 2021-5-13 15:44:28 020532
    说在前面
    一天,在网上看到一篇文章,是关于通达信科OA的在线用户类似越权访问登录漏洞的,突然来了兴致,便去找了找有关通达信科的OA系统,找了找顺带试了一下,这一试还真发现问题了,然后一不小心就进了人家的后台。来都来了,那总得get shell再走吧~
    以下附上本人get shell的全过程。本人只是个菜鸡,一起学习,勿喷~


    介绍
    北京通达信科科技有限公司隶属于中国兵器工业信息中心,简称通达信科。这是一支以协同管理软件研发与实施、服务与咨询为主营业务的高科技团队。通达信科将自身定位于中国协同OA软件的领跑者,中国优秀的私有云方案提供商。
    这里来介绍介绍通达信科的建站系统。
    通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。这是一款功能强大的办公软件,它集成了多种沟通交流的方式:内部短信、手机短信、内部交流区BBS、内部邮件、语音视频聊天,可以即时通讯、移动办公;而且它为各行业不同规模的众多用户提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析,这些种种都帮助了广大用户降低沟通和管理成本,提升生产和决策效率。 可是这也极大的方便了攻击者,攻击者通过各种方式登录后台后,可以更方便地进行一系列的攻击。
    根据我这么多天的挖掘,我发现通达OA几乎都会存在一个类似于越权的漏洞,但是利用的方式确实比较特殊。
    登录后台后都可以通过菜单中的系统管理中的系统信息来查看其中的本地绝对路径;然后再进入附件管理中新建一个附件存储目录;都会有一个图片浏览设置、图片浏览和个人文件柜,不过所在的地方会根据不同网站进行改变,需要有一定的耐心去寻找。这几个都是最后get shell的关键步骤。
    下面听我慢慢道来。

    全过程
    先找到其oa系统的路径https://x.x.x
    1.5.png

    在其路径后面加上“/mobile/auth_mobi.php?isAvatar=1&uid=1&P_VER=0 ”,然后访问其路径获取其phpsessid
    1.2.png

    可以看到我已经获取到了这个phpsessid。这个时候就可以访问后台页面了。
    但是如果页面显示的是RELOGIN,那么说明存在漏洞,但是管理员现在不在线,所以需要等他在线。就想这样,这时候虽然也有phpsessid,但是没什么用,还是无法登录进去
    1.3.png

    访问https://x.x.x/general ,直接进入后台
    8{1S`GEQ(M6%V1IE%Z8YDF8.png

    进入后台后,就要来查看下本地的绝对路径了,这步特别重要,因为这样后面传马才知道传到了哪里,才能用后门管理工具来进行连接
    这里点击菜单->系统管理->系统信息
    I85(VUEG`_X0K{0UK~[2}AT.png

    查看其中的本地绝对路径,这里是在D盘下的
    7`M~A47OX`)0`G6OC20$(O2.png

    然后再去菜单中点击附件管理
    {~DYW(984(E0BRUX8[_54}H.png

    新建一个附件目录
    QQ图片20210401082246.png

    这里我需要用大写Webroot来绕过,因为webroot会被过滤。注意这里是D盘下
    [P43}NE3L{0)%%01ZX890}Q.png

    点击菜单中的知识管理中的图片浏览设置
    {QUH@4]@KPNH)`%P7IF5U.png

    然后添加图片目录。这里要注意的是需要将发布范围里添加一个系统管理员才可以。路径还是那个webroot路径。
    3N[1@I48DM%{E256F4JHCSY.png

    点击菜单中个人事务中的个人文件柜
    }0D~XF8JSKJ04{6HT_{1Z4F.png

    然后添加一个文件,也就是我的shell。这里要注意要将木马改为jpg后缀,否则路径无法查看。
    ]ND)XBQ(][I{97PYP((5`XR.png

    点击知识管理中的图片浏览
    0G]RWW2E%[60W~H(09W27G5.png

    查看木马路径。这个时候需要记住这个文件名称,这个路径是固定的
    QQ图片20210513153403.png
    然后把鼠标放到木马上面,点击重命名,这时我使用火狐进行抓包:先随便改个名字,点击保存,然后会拦截到一个post包,这个时候就需要修改ATTACHMENT_NAME_POSTFIX的属性为php.,注意这里后面有个.,否则会提示无法创建该类型文件。然后重放这个数据包,可以看到已经修改成功
    %_1AEX)SU1~8O%T2PM5VP5H.png

    然后找到之前的那个文件名,将上传的原始的那个文件名2.jpg改为166.php.,这个是根据上传的路径以及我们改的名称来定的。最后就能访问到马了
    QQ图片20210513154345.png

    这里第一个高校get shell到此结束,后续的高校get shell过程也大同小异,但是具体的细节略微有些不同,这里我再举一例,让大家来感受一下吧
    前面的操作都一样,这里就直接贴图了
    1.jpg

    获取phpsession
    2.jpg

    进入后台
    3.jpg

    还是要查看其中的本地绝对路径,这里不贴图了,是在E盘下面
    然后点击附件管理
    4.jpg

    新建一个附件目录
    5.jpg

    这里用大写Webroot来绕过,注意这里是写成E盘下,这里就与上面的D盘不同了
    0()OTH]9WJ_I0K}~NIKQAN2.png

    这里也有不同,是点击公共文件中的图片浏览设置
    7.jpg

    添加图片目录。这里要注意的是需要将发布范围里添加一个系统管理员才可以。路径还是那个webroot路径。
    0()OTH]9WJ_I0K}~NIKQAN2.png

    点击个人事务中的个人文件柜
    9.jpg

    然后添加一个文件,也就是我的shell,这里要注意需要将木马改为jpg后缀,否则路径无法查看。
    10.jpg

    点击公共文件中的图片浏览
    11.jpg

    查看木马路径,然后把鼠标放到木马上面,点击重命名,这时我使用火狐进行抓包:先随便改个名字,点击保存,然后会拦截到一个post包,这个时候就需要修改ATTACHMENT_NAME_POSTFIX的属性为php.,注意这里后面有个.,否则会提示无法创建该类型文件。然后重放这个数据包,可以看到已经修改成功

    然后找到之前的那个文件名,将上传的原始的那个文件名2.jpg改为166.php.,这个是根据上传的路径以及我们改的名称来定的。最后就能访问到马了
    [PVD~%H5B62Y_PUO5_KMW.png

    这里大家应该能感受到其中的略微差别,自己注意下就行了。
    按照这种操作,我get shell了6家高校,已经提交到漏洞平台了,正在审核~目前已经通过了几个,希望全部都能过吧,嘻嘻
    1.1.png

    9SJHOM]VICIW0N5_E(KSI)B.png

    结尾
    最后这里就附上一个fofa的查询语法吧。
    app="TDXK-通达OA"




    SV93I)TGR85](W5[U8M[$1G.png
    }6`}_35P%O68~9W23UAJYO6.png
    [PVD$5~%H5B62Y_PUO5_KMW.png
    SV93I)TGR85](W5[U8M[$1G.png
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册