登錄
通達(dá)oa后臺(tái)getshell漏洞復(fù)現(xiàn)
我來(lái)回答
共3個(gè)回答
彌倩
回答
0x00 漏洞描述:通達(dá)OA 11.2 “組織”-》”管理員”-》附件上傳處存在任意文件上傳漏洞,結(jié)合 “系統(tǒng)管理”-》”附件管理”-》”添加存儲(chǔ)目錄”,修改附件上傳后保存的路徑,最終導(dǎo)致getshell
0x01 漏洞影響版本:通達(dá)OA 11.2
0x02 漏洞復(fù)現(xiàn)
1、下載https://cdndown.tongda2000.com/oa/2019/TDOA11.2.exe,windows下直接點(diǎn)擊安裝,管理用戶admin,密碼為空
2、使用admin,密碼為空登錄,點(diǎn)擊”系統(tǒng)管理”-》”附件管理”-》”添加存儲(chǔ)目錄”
3、點(diǎn)擊”系統(tǒng)管理”-》”系統(tǒng)參數(shù)信息”-》”O(jiān)A服務(wù)設(shè)置”,找到Webroot目錄
4、在”系統(tǒng)管理”-》”附件管理”-》”添加存儲(chǔ)目錄”,添加存儲(chǔ)目錄
收起
2021-10-14
益俐
回答
1.分析一下存在漏洞文件 logincheck_code.php 從代碼中我們可以控制的有UID,CODEUID然后判斷$login_codeuid是否存在,不存在或者為空就退出,然后將獲取的UID,帶入到sql語(yǔ)句進(jìn)行查詢,后面會(huì)驗(yàn)證查詢的結(jié)果,如果信息核對(duì)正確,則將個(gè)人信息放入到SESSION中,UID=1的時(shí)候默認(rèn)是管理員,而UID我們可以輸入一個(gè)1,就可以滿足查詢ql,而我們現(xiàn)在要繞過(guò)if (!isset($login_codeuid) || empty($login_codeuid)){exit();},全局搜索一下$login_codeuid可不可以控制
2.分析一下/general/login_code.php,發(fā)現(xiàn)存在$login_codeuid 如果$login_codeuid為空,則給$login_codeuid賦一個(gè)隨機(jī)值,并且使用echo打印出來(lái)
3.那我們的思路是:先去訪問(wèn)/general/login_code.php,獲得$login_codeuid,再去訪問(wèn)logincheck_code.php,同時(shí)POST傳入獲取的$login_codeuid和UID=1,獲得返回包的PHPSESSID,在使用火狐瀏覽器偽造COOKiE,登錄后臺(tái)
4.漏洞復(fù)現(xiàn),將獲得的code_uid保存下來(lái),進(jìn)行下一步,將獲取的PHPSESSID保存下來(lái),使用火狐瀏覽器偽造COOKIE,同時(shí)訪問(wèn)/general/index.php,便可以進(jìn)入后臺(tái)
5.后臺(tái)GetShell(靶機(jī)環(huán)境windows7 通道OA用的是MYOA2017)依次點(diǎn)擊系統(tǒng)管理-附件管理-添加存儲(chǔ)目錄,選擇根目錄
6.依次點(diǎn)擊組織-系統(tǒng)管理員-附件(下圖標(biāo)注)
7.直接上傳shell.php不能成功,開(kāi)啟抓包,上傳shell.php.進(jìn)行繞過(guò),windows系統(tǒng)會(huì)自動(dòng)去掉.,不符合windows的命名
8.使用冰蝎進(jìn)行連接
9.實(shí)戰(zhàn)(由以上的思路,進(jìn)入到某站的OA后臺(tái)管理系統(tǒng))
收起
2021-10-12
煙源
回答
1、下載https://cdndown.tongda2000.com/oa/2019/TDOA11.2.exe,windows下直接點(diǎn)擊安裝,管理用戶admin,密碼為空
2、使用admin,密碼為空登錄,點(diǎn)擊”系統(tǒng)管理”-》”附件管理”-》”添加存儲(chǔ)目錄”
3、點(diǎn)擊”系統(tǒng)管理”-》”系統(tǒng)參數(shù)信息”-》”O(jiān)A服務(wù)設(shè)置”,找到Webroot目錄
4、在”系統(tǒng)管理”-》”附件管理”-》”添加存儲(chǔ)目錄”,添加存儲(chǔ)目錄
5、選擇 “組織”-》”管理員”-》附件上傳
6、直接上傳php,上傳失敗,上傳txt文件,上傳成功
7、根據(jù)返回的結(jié)果,拼接文件路徑,http://192.168.77.129/im/2009/1028578583.test.txt
8、利用windows系統(tǒng)會(huì)自動(dòng)去掉.,上傳test.php.文件進(jìn)行繞過(guò)
9、根據(jù)返回的結(jié)果,拼接文件路徑,http://192.168.77.129/im/2009/1455739474.test.php,菜刀連接,成功getshell
0x03 漏洞修復(fù)建議
升級(jí)版本
收起
2021-10-11
其它產(chǎn)品問(wèn)答
氪友8jRA
回答
您可以通過(guò)官方網(wǎng)站提供的問(wèn)題解答、客服電話或郵件聯(lián)系客服人員,解決在使用過(guò)程中遇到的問(wèn)題。
2023-06-04
1 個(gè)回答
氪友a(bǔ)FhW
回答
您可以通過(guò)官網(wǎng)的購(gòu)買(mǎi)渠道或撥打客服熱線進(jìn)行咨詢和購(gòu)買(mǎi)相關(guān)產(chǎn)品和授權(quán)。
2023-06-01
1 個(gè)回答
提問(wèn)
氪友obUu
回答
通達(dá)oa提供了在線升級(jí)和手動(dòng)升級(jí)兩種方式,您可以根據(jù)具體情況選擇合適的方式進(jìn)行升級(jí)操作。
2023-04-25
1 個(gè)回答
提問(wèn)
氪友K7d1
回答
在系統(tǒng)中進(jìn)入“流程管理”模塊,點(diǎn)擊“新建流程”按鈕,按照提示進(jìn)行操作即可創(chuàng)建新的流程。
2023-03-21
1 個(gè)回答
提問(wèn)
氪友pVBr
回答
通達(dá)oa提供了協(xié)同辦公、日程管理、郵件系統(tǒng)、在線聊天、會(huì)議管理等功能,支持企業(yè)內(nèi)部協(xié)同辦公的全方位需求。
2023-03-07
1 個(gè)回答
查看更多
問(wèn)答提及產(chǎn)品
同類產(chǎn)品推薦
查看更多
道一云
3.5
47條點(diǎn)評(píng)
一站式智能辦公平, 30%五百?gòu)?qiáng)企業(yè)都在用道一云與企業(yè)微信
云之家
4.1
690條點(diǎn)評(píng)
云之家,新一代智能協(xié)同云
道一云-OA
3.3
29條點(diǎn)評(píng)
全面解決日常辦公需求的一站式智能OA
泛微OA
3.9
444條點(diǎn)評(píng)
泛微OA將企業(yè)日常行政、業(yè)務(wù)審批、財(cái)務(wù)報(bào)銷等全流程電子化,根據(jù)企業(yè)個(gè)性化業(yè)務(wù)需求自定義績(jī)效考核、固定資產(chǎn),滿足企業(yè)各種審批需求。
泛微eteams
3.8
174條點(diǎn)評(píng)
eteams是協(xié)同領(lǐng)域主板上市第一股(603039)上海泛微網(wǎng)絡(luò)科技股份有限公司旗下的云OA。
消息通知
咨詢?nèi)腭v
商務(wù)合作
