黑帽SEO
免费发布泛目录 蜘蛛池 黑帽SEO工具

通达OA任意文件上传漏洞的分析过程

  该漏洞被黑产利用,用于投放勒索病毒,根据厂商补丁,进行相关漏洞分析工作,原理很简单。

  在厂商补丁的其他版本中出现了这个路径,跟进来一看实际上是一个很明显的文件上传漏洞,而且是未授权的文件上传,分段来看一下代码。

  先看未授权部分,P不为空的情况下,包含,并且通过 session_id 注册 session ,P可通过 POST[‘P’] ,因此不多赘述。

  再看下面这一小段,假设 DEST_UID 为空的情况下,会直接返回相关信息,并且退出,因此这里的处理方式也很简单, DEST_UID 可通过 POST[“DEST_UID”] 搞定,这里也不多赘述了。

  再往下走,当全局变量大于等于1的时候,简单理解就是有文件上传的时候,会调用 upload 函数进行处理,这里的文件上传的 name 为

  跟进 upload 方法,可以很明显看到 is_uploadable 这个方法针对上传的文件名进行判断。

  很明显存在一个后缀名非法的判断,所以这点并不能直接上传PHP文件。

  继续往下走,因为上传不回显的话,搞定了也没啥用,还得猜文件名麻烦,找到了一个回显的地方。

  构造 poc 上传之后,这里可以看到这个内容,那么它对应的文件名是

  通达OA任意文件上传漏洞的分析过程image

  然后尴尬的事情发生了,上传的文件即使不能是PHP也不在web目录下,它的路径是。

  image

  也就是说上面的漏洞要达到RCE的目的,还需要一个文件包含,包含点从补丁上找找,是这个。

  简单分析一下,解析一个循环解析,假设是 url 的情况下,它的值会丢给,之后会调用 include_once 针对这个进行包含了。

  所以从代码来看非常的简单,简单提一嘴,这套代码有 disable_function 的限制,需要bypass一下,整个过程非常的简单。

  image

未经允许不得转载:黑帽SEO-实战SEO技术培训、泛目录站群、蜘蛛池、流量技术教程 » 通达OA任意文件上传漏洞的分析过程
分享到: 更多 (0)

黑帽SEO-实战SEO技术培训、泛目录站群、蜘蛛池、流量技术教程

不做韭菜坚决不做韭菜