通达OA im存在后台任意文件上传漏洞
一、漏洞简介
通达OA是一款基于Web的企业级办公自动化软件,旨在提高组织内部工作效率和协同能力。它以电子邮件、日程安排、文档管理、人力资源、财务管理等模块为基础,满足企业内部各个部门的需求。通达OA “组织”->”管理员”->附件上传处存在任意文件上传漏洞,结合 “系统管理”->”附件管理”->”添加存储目录”,修改附件上传后保存的路径,最终导致getshell。
二、影响版本
- 通达OA 2017-通达OA V11.4
三、资产测绘
- hunter
app.name="通达 OA"
- 登录页面
四、漏洞复现
1、使用默认密码admin,密码为空或采用通达OA任意用户登录登录后台;
2、点击系统管理->系统参数设置->OA服务设置,找到网站根目录:D:MYOAwebroot;
3、点击系统管理->附件管理->添加存储目录,设置附件上传目录为网站根目录:
存储目录设置为Webroot目录,标识id为100-255的整数,勾选将所有新附件存至该目录,描述随意:
⚠️注意:在11.2以上版本会检测存储目录是否包含webroot关键词检测,所以采用大小写绕过:D:MYOAwebrooT;
4、选择组织->系统管理员->附件上传,上传webshell:
⚠️此处存在黑名单过滤,利用windows会自动去掉.,上传shell.php.文件进行绕过
5、根据响应,拼接webshell地址:http://ip/im/2305/1199917688.shell.php,冰蝎连接成功getshell: