记一次完整的渗透测试

前言

本次渗透测试过程大概是这样的：通达OA前台任意用户登录-上传webshell-获取相关信息-提权cmdshell。其实过程都比较简单，主要是想记录一下本次测试过程中的几个掉坑点。

掉坑起因（通达OA前台任意用户登录）

本次测试完全是因为最近刚好有时间，在圈子里面翻大佬文章的时候，看见前阵子冒出的通达OA前台任意用户登录相关文档，然后就想自己测试一下是否能够复现。结果在测试的时候，发现真的可以实现任意用户登录，原理请参考通达OA任意用户登录分析，既然原理基本弄明白了直接上Github找个POC: 漏洞利用POC（原谅我编程能力太差0.0），弄到POC以后，就开始一顿操作猛如虎，一看权限全是登录进去就完事，就这样肯定是不甘心的，然后就想找一下上传点啥的，既然都是管理员权限了，然后就这样放弃是不可能的，这辈子都不可能的。然后就开始了漫长的掉坑之旅。。。。。。。。。。。。

掉坑过程一（上传webshell问题）

参考通达OA 前台任意用户登录漏洞getshell的文章,进行实际操作，发现有三个坑：
首先第一个坑-版本问题：此获取getshell的方式仅适用于Office Anywhere 2017版 集团版 ，也就是这样色的（其他版本由于时间关系就没有一一去测试，遇见的例如2016等版本是不行的，或许是本人菜鸡一枚，实力有限的关系，有兴趣的可以自行测试。）：

然后第二个坑-路径问题：按照大佬的说法是需要先在系统管理-附件管理中添加附件管理地址，但是这个地址不能够乱添加，必须添加一个可访问有读写权限的地址。经本地测试发现在系统管理-系统信息中找到软件安装路径，例如D:\MYOA,然后再根据此路径来改附件管理地址，而且这个地址最好就是D:\MYOA\webroot，这个地址是可以直接访问并且有权限的。
最后是第三个坑-文件访问问题：仔细观察了N遍大佬的这个gif动态图都没看明白为啥他就知道访问http://url/im/2004/数字.test.php文件，在本地测试后发现，上传处因为过滤问题，过滤不严，直接在文件名后面加一个点"."即可绕过上传，例如test.php，直接改为test.php.即可上传成功，上传上去以后，这个文件会存在上一步设置的附件管理的路径下生成一个名为im的文件夹，这个文件夹中还有一个名为2005的文件夹，上传的文件就在这里面，被生成了这样一个文件：123456789.test.php，这个数字就是上传后，返回包中id参数的后面一段，如图：（直接借用一下大佬的图了，比较懒0.0）

就是图中标记的这一段数字，完整路径就是http:url/im/2005/123456789.test.php

掉坑过程二（cmdshell提权问题）

经过一阵倒腾后，终于成功拿到webshell。别说，通达OA只要拿到webshell后，权限还挺大，但是某些命令被禁用了，例如net user，如图所示：

然后开始了各种倒腾都不行，准备尝试mysql数据库提权，使用UDF提权，结果还是无法创建用户，这里有一个坑点，创建用户时，使用简单密码系统会直接不让你创建，所以导致我一直无法创建成功，使用强密码即可，如图:

然后添加到管理员组，如图：

最后登录成功，如图：

到此结束，后续还可以进行内网横向的操作，但是本次由于时间等原因就不进行向下的操作了。

总结

看了文章以后，需要自己去亲自测试一番才知道哪些位置有坑，针对通达OA2017集团版本已经测试可行，但是其他版本还需要测试后才知道是否通用。