PS!:本文仅用于技术讨论与分析,严禁用于任何非法用途,违者后果自负。
PS!:此漏洞已提交补天漏洞平台,所有信息皆脱敏。
最近在温习一些之前hw比赛中红方容易利用的点
所以看到了之前号称最容易被打穿的OA
然后感兴趣的点就自然而然是任意用户登陆这一块
启用fofa发现通达OA其实广泛应用在中国内地及香港
那么代表其实有很多站都存在可能的任意用户,那么废话不多说我们找一个站来实际测试一下
选定广州市某大型企业
界面如下,那么如何判断版本呢?
这里介绍个通达oa判断版本小技巧:
inc/expired.phpinc/reg_trial.phpinc\reg_trial_submit.php
那么现在已知此站的版本为2017版
我们就可以尝试去做一个POC的验证
此处感谢NS-Sp4ce大佬在github上放出的POC
地址:https://github.com/NS-Sp4ce/TongDaOA-Fake-User
取得phpsession
此时在浏览器或者burp中替换掉phpsession就可以进入OA界面了
但是也可以有手工验证的途径
此处简略介绍不再配图
首先访问
http://ip/general/login_code.php
获取UID,接着访问
http://ip/general/logincheck_code.php
利用burp抓包替换UID拿到cookie,访问
http://ip/general/index.php?is_modify_pwd=1
替换掉phpsession,神奇的事情发生了
我作为超级管理员进入了!
此处如果是测试漏洞就这样就可以结束了,但是渗透测试需要的是继续挖掘
怎么办?
此时我发现一个有意思的通达getshell漏洞
可是我发现我的界面并不一样
深夜的我狠狠薅了一把头发然后发现
这不就是换了个皮肤么???
换回通达默认皮肤发现一切都顺畅了好多!终于可以传文件了!
上传!!
连马!!搞定!帅不帅?
然而现实狠狠给了我一巴掌!
小伙子你这么废,你亲朋好友zi道么?
发现上传点并不能利用,为什么?
原先的路径它的管理员更改了一个不能利用的路径
马不能解析
马:你tm让我跑不给我吃草?
重新建立 D:/MYOA/webroot/ 并勾选附件储存在此目录下
注:一般默认网站安装目录为 D:/MYOA/webroot/ 最后也有路径获取的地方,如果不设置会不在网站根目录下,无法直接访问附件
马:这才像回事情
此处上传木马
注意php绕过通过后缀名php.可以绕过拦截
id中 2010_xxxxxx是未来的访问路径
这里分享一个好玩的点
我是用冰蝎上传的,然后因为冰蝎无法打开客户端所以采用蚁剑
结果死活连不上去,换了另一台电脑冰蝎客户端才打开
所以,术业有专攻,冰蝎还是用冰蝎吧
验证system权限
我太难了!但是白帽要有白帽的准则
提交补天换了2库币,虽然不多但是换来了安全
哈哈,谢谢各位大佬观看吧。
来源:freebuf.com 2020-10-23 13:35:44 by: 唱跳rap和篮球
请登录后发表评论
注册