通达OA 11.6漏洞复现 – 作者:hahali

看来各位大佬的操作，小弟也做了一次通达OA的漏洞复现，如有错误，请各位指正！

1、漏洞复现

首先安装一个通达OA，版本选择11.6

安装地址：http://www.kxdw.com/soft/23114.html

然后打开exp，进行攻击

Exp源码：

运行exp，最后会反馈一个菜刀链接地址

使用菜刀连接

2、漏洞分析

根据exp进行分析

首先访问了print.php删除了webroot/inc/auth.inc.php

查看这两个文件需要对print.php文件进行解密

读代码，发现auth.inc.php的功能是判断用户是否登录的文件，如果没有账号密码就无法登录，从而无法上传shell。exp中删除了这个文件就无法对其进行校验，可以顺利上传shell。

print.php文件中存在未授权漏洞可以导致文件删除。

获取 guid参数的值，使用file_exists函数判断文件是否存在，但是没有进行校验就执行了unlink进行删除文件的操作。

在upload.php文件中写入一句话木马。

调用action=upload上传文件，传入不存在的filetype 进入漏洞点。

简单来说exp的攻击流程是：首先要删除校验用户登录的页面auth.inc.php，并利用存在未授权漏洞的print.php文件进行文件删除，至此由前端进入后台，进到后台之后在upload.php文件中上传一句话木马获取webshell。

来源：freebuf.com 2020-08-20 14:43:07 by: hahali