通达OA任意文件删除/OA未授权访问+任意文件上传RCE漏洞复现

通达OA任意文件删除/OA未授权访问+任意文件上传RCE漏洞复现

一、简介

通达OA采用基于WEB的企业计算,主HTTP服务器采用了世界上最先进的Apache服务器,性能稳定可靠。数据存取集中控制,避免了数据泄漏的可能。提供数据备份工具,保护系统数据安全。多级的权限控制,完善的密码验证与登录验证机制更加强了系统安全性。

二、漏洞描述

该漏洞是由于print.php存在任意文件删除漏洞,通过删除通达OA身份认证文件auth.inc.php达到绕过登录限制, 结合任意文件上传达到RCE的效果

三、影响版本

 通达OA<v11.5&v11.6版本(任意文件删除仅影响11.6、未授权访问影响<11.5)

四、漏洞环境搭建

1、下载,https://cdndown.tongda2000.com/oa/2019/TDOA11.6.exe、https://cdndown.tongda2000.com/oa/2019/TDOA11.4.exe

2、在Windows下直接双击安装,OA管理员用户名:admin  密码为空

3、解密工具下载

通达OA11.6及解密工具:
链接: https://pan.baidu.com/s/1Wh9g4Xp1nIqZ5zPRt8rARg 密码: 77ch

 

五、漏洞复现

1、exp下载,https://github.com/admintony/TongdaRCE

2、运行脚本

3、使用冰蝎连接

4、安装tongda 11.4,利用oa未授权漏洞结合任意文件上传getshell

5、使用冰蝎连接

六、漏洞分析

1、print.php存在任意文件删除漏洞,打开print.php可以看到没有做任何限制可以直接访问该页面http://192.168.77.128/module/appbuilder/assets/print.php

2、分析代码,发现可控参数guid,构造poc(以删除1111.txt为例证明任意删除漏洞存在),http://192.168.77.133/module/appbuilder/assets/print.php?guid=../../../webroot/1111.txt,发现1111.txt不存在,证明存在任意文件删除漏洞

3、查看auth.inc.php文件,该文件是通达用于做身份验证的,需要登录访问的文件都会将它包含进来

4、查看upload.php,该处存在任意文件上传,poc:/general/data_center/utils/upload.php?action=upload&filetype=nmsl&repkid=/.<>./.<>./.<>./奈何代码水平太差,看的很迷茫,有兴趣的参考https://mp.weixin.qq.com/s/GALcUWwt2M5_B_3iDSDq7g

 

七、漏洞修复建议

升级版本

posted @ 2020-09-02 14:10  雨中落叶  阅读(2828)  评论(0编辑  收藏  举报