通达OA未授权任意文件上传及文件包含导致远程代码执行漏洞

最新推荐文章于 2025-05-28 17:49:11 发布
最新推荐文章于 2025-05-28 17:49:11 发布
阅读量2.4k 收藏
点赞数 1
CC 4.0 BY-SA版权
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Adminxe/article/details/105908026
通达OA多个版本存在文件上传与文件包含漏洞,可能导致远程代码执行。攻击者通过绕过登录验证上传文件,结合文件包含漏洞实现控制。官方已发布补丁,建议用户及时更新。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 前言

通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。

0x01 漏洞简介及影响版本

3月13日,通达OA在官方论坛发布通告称,近日接到用户反馈遭到勒索病毒攻击,提示用户注意安全风险,并且于同一天对所有版本发布了加固补丁。

通达OA V11版 <= 11.3 20200103
通达OA 2017版 <= 10.19 20190522
通达OA 2016版 <= 9.13 20170710
通达OA 2015版 <= 8.15 20160722
通达OA 2013增强版 <= 7.25 20141211
通达OA 2013版 <= 6.20 20141017

0x02 漏洞分析

  • 根据官方补丁可以推断出大概的漏洞位置。
  • 漏洞主要分为两个点,一个是文件上传,一个是文件包含。

文件上传

ispirit/im/upload.php

要上传首先需要绕过登陆验证,在本系统中auth.php是登陆验证的相关逻辑,但在upload.php未修复前,如果$P非空就不需要经过auth.php验证即可执行后续代码。利用此处逻辑漏洞可绕过登陆验证直接上传文件。

因上传后的文件不在根目录,所以无法直接利用,因此需要进行文件包含

文件包含

ispirit/interface/gateway.php

这个和上传相反,只要没有P参数即可无需验证。

未修复前,可通过精心构造json进入47行的includ_once进行文件包含。官方在补丁中增加了对”..”的过滤防止用户读取其他目录文件。

根据代码逻辑构造参数即可上传任意文件,但文件上传保存路径不在web目录中。

根据固定的目录结构可以推断出文件上传后的相对路径,组合文件上传+文件包含漏洞造成远程代码执行漏洞,且通达OA Web服务默认以系统服务方式运行(system权限),从而导致攻击者可以控制服务器权限。

0x03 修复建议

及时安装官方补丁

由于通达oa默认过滤了大部分执行命令的函数,所以想要执行命令请参考使用com组件绕过disable_function。

0x04 参考链接

http://club.tongda2000.com/forum.php?mod=viewthread&tid=128372

http://club.tongda2000.com/forum.php?mod=viewthread&tid=128377

通达OA后台module任意文件上传
xiaokp7的博客
07-13 535
通达OA是由北京通达信科科技有限公司自主研发的协同办公自动化系统,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,后台个人文件柜处/module/upload/upload.php存在任意文件上传漏洞,用户可以通过上传任意文件到服务器中,并且可以借助上传的文件利用shell工具直接获得system权限。
oa 11.10 未授权任意文件上传
YJ_12340的博客
06-05 1371
漏洞简介之前也对通达 oa 做过比较具体的分析和漏洞挖掘,前几天看到通达 oa 11.10 存在未授权任意文件上传漏洞,于是也打算对此进行复现和分析。环境搭建下载地址 :https://cdndown.tongda2000.com/oa/2019/TDOA11.10.exe查看版本信息漏洞复现。
通达OA未授权任意文件上传任意文件包含漏洞复现
sinat_36853972的博客
08-20 1583
通达OA任意文件上传任意文件包含漏洞复现 漏洞复现 创建一个上传的页面 <html> <body> <form action="http://your-ip/ispirit/im/upload.php" method="post" enctype="multipart/form-data"> <input type="text"name='P' value = 1 ></input> <input type="text"name
框架漏洞(3)OA
最新发布
m0_73399576的博客
05-28 1050
知识面,决定看到的攻击面有多广。知识链,决定发动的杀伤链有多深。
漏洞挖掘之通达OA2017任意文件上传漏洞已失效)
crowsec
02-10 3528
通达OA系统代表了协同OA的先进理念,16年研发铸就成熟OA产品,协同OA软件行业唯一央企团队研发,多次摘取国内OA软件金奖,拥有2万多家正式用户,8万多家免费版用户。
oa 11.10 未授权任意文件上传及提权
失心少年
06-03 1319
通达oa一键getshell
OA 11.10 未授权任意文件上传
蚁景网安学院
06-05 915
之前也对通达OA做过比较具体的分析和漏洞挖掘,前几天看到通达OA11.10 存在未授权任意文件上传漏洞,于是也打算对此进行复现和分析。
通达OA 任意文件上传+文件包含导致RCE
Adminxe的博客
09-23 1542
0x00 漏洞描述 ispirit/im/upload.php存在绕过登录(任意文件上传漏洞),结合gateway.php处存在的文件包含漏洞,最终导致getshell,或者直接利用日志文件写入shell,然后结合文件包含漏洞getshell 0x01 漏洞影响版本 通达OA V11版 <= 11.3 20200103 通达OA 2017版 <= 10.19 20190522 通达OA 2016版 <= 9.13 20170710 通达OA 2015版 <= 8.1...
通达OA任意文件上传_文件包含GetShell1
08-03
- 一旦攻击者成功上传了恶意文件,他们可以通过文件包含漏洞来执行这些文件中的代码,从而实现远程代码执行(RCE)。文件包含漏洞通常发生在程序尝试动态地加载或执行存储在服务器上的文件时,如果没有正确验证文件...
通达OA未授权、有限制未授权、upload——rce的poc.rar
09-02
POC1中的upload rce部分,说明了攻击者可以如何利用这个漏洞上传一个包含恶意代码的文件,然后触发执行,从而对服务器造成破坏。 POC2(ispirit未授权登录).py可能针对的是ispirit模块的未授权访问问题。ispirit...
通达OA文件上传文件包含漏洞引发的RCE分析
"通达OA任意文件上传配合文件包含导致的RCE影响多个版本,包括V11版、2015-2017版、2013版以及2013增强版。利用该漏洞,攻击者可以通过Python等脚本执行命令,如`python3.pyhttp://10.0.0.1:81whoami`,获取服务器...
通达OA V11任意文件上传远程代码执行分析
"通达OA任意文件上传_文件包含GetShell1" 通达OA(Tongda Office Automation)是一款广泛使用的协同办公系统。在描述提到的版本V11中,存在一个严重的安全漏洞,允许未经身份验证的攻击者进行任意文件上传,并通过...
通达OA v11.8 远程文件包含漏洞分析及复现
"通达OA v11.8版本中的getway.php存在远程文件包含漏洞,该漏洞可能导致任意文件写入,影响系统安全。" ### 通达OA v11.8 getway.php 远程文件包含漏洞详解 通达OA(Tongda Office Automation)是一款广泛应用的...
通达OA V11.3 代码审计 (文件上传文件包含、任意用户登录漏洞
Alexz__的博客
09-23 2874
因为这段时间比较忙,抽出时间写博客很不容易,所以就简单的吧印象笔记里面的内容站上俩,没有写太多具体的分析过程,尽量都在截图中说明了 附件 通达OA11.3源码(未解码,可以自己去下SeayDzend解码) 链接:https://pan.baidu.com/s/17kItUwoPfPIeeK2ZnRnmEA 提取码:ALEX 文件上传漏洞: \ispirit\im\upload.php 5:$P参数非空即可绕过上传限制 ...
通达OA未授权任意文件上传文件包含漏洞分析学习
A1andNS's Blog
08-30 3815
今年3月份通达OA爆出了文件上传文件包含漏洞,网络上很多复现和分析的博客,今天我也来试着分析分析,据360灵腾安全实验室判断该漏洞等级为高,利用难度低,威胁程度高,所以可能比较适合代码审计的新手来练练。 0x00 漏洞概述 通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化系统,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等。 该漏洞在绕过身份验证的情况下通过文件上传漏洞上传恶意php文件,组合文件包含漏洞最终造成远程代码执
通达OA action_crawler.php 任意文件上传
qq_36334672的博客
01-31 883
app=“TDXK-通达OA
通达OA软件测试工资,通达OA Office Anywhere 2015版网络智能办公系统一处盲注漏洞/demo测试(需登录)...
weixin_31508009的博客
07-30 598
### 简要描述:最新版,绕过过滤,直接注### 详细说明:厂商:通达信科测试demo地址:**.**.**.**/从官网(http://**.**.**.**/)直接点击集团版在线试用进去以后,注入出在:list_report.php文件中```注入地址:**.**.**.**/general/data_center/model_design/design/report/list_report....
通达OA任意文件删除+任意文件上传RCE漏洞复现
玄道的网安博客
11-30 1519
漏洞概述 通达OA是一套国内常用的办公系统,在V11.X<V11.5和通达OA 2017版本中存在任意用户登录漏洞。攻击者在远程且未经授权的情况下,通过此漏洞可以以任意用户身份登录到系统(包括系统管理员)。 影响版本 通达OAv11.6版本 环境搭建 下载地址 https://pan.baidu.com/s/1VqUUNUsgsssK1Mhq2r8HHQ 提取码:him4 一键默认安装 端口配置 服务器配置 接着访问http:...
完整版通达OA2015-2017版本1day漏洞利用
weixin_50464560的博客
12-07 3071
转载至https://www.freebuf.com/articles/web/260380.html 此次渗透主要利用了通达OA系统的一个nday漏洞+两个1day漏洞,目前网上均无具体完整的poc,本文将尽可能详细地总结一下利用过程目标站点:探测后判断为通达OA2015版本系统,存在多处sql注入漏洞与登录绕过漏洞,因通达OA2015版本已对多个sql危险函数进行过滤,故sql注入利用价值不高,下文具体复现一下登录绕过漏洞漏洞1:全局变量覆盖漏洞因没找到2015版的通达OA源码,故搬运一下乌云上的分析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Adminxe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值