搭建环境

服务器

  虚拟机系统版本:Windows Server 2016。

安装服务端

1.下载安装程序

 

  这里我们下载的是2017版本的通达OA服务端;

2.安装程序

 

  配置服务;

 

 

漏洞复现

1.任意文件上传漏洞

 

   这里我们将文件后缀修改为.php.即可成功上传,解读源码upload.php中只对php做了过滤,可以有多种方法绕过,这里不具体举例了。

 

2.命令执行

  登录;

  在附件管理里添加附件保存路径;

 

  上传附件;

  可以看到文件路径和文件名,修改payload和文件后缀再次上传,并记住返回的文件名;

  发送POST包,添加cmd命令即可执行;

  TIPS:注意加上Content-Type,否则命令无法执行,别问我怎么知道的TAT。

 

3.本地文件包含

  同样是上一步的payload,在/mac/gateway.php文件中存在文件包含漏洞。

 

4.Getshell

  上传文件并通过命令执行漏洞执行文件,会产生一个同目录下文件名为readme.php的后门文件,用的是冰蝎的PHP木马;

  用冰蝎连SHELL;

 

成功getshell,撒花✿✿ヽ(°▽°)ノ✿~