通达OA未授权任意文件上传及文件包含漏洞分析学习

最新推荐文章于 2025-12-17 09:21:47 发布
原创 最新推荐文章于 2025-12-17 09:21:47 发布 · 3.9k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#代码审计 #漏洞复现 #安全 #php

今年3月份通达OA爆出了文件上传和文件包含漏洞,网络上很多复现和分析的博客,今天我也来试着分析分析,据360灵腾安全实验室判断该漏洞等级为高,利用难度低,威胁程度高,所以可能比较适合代码审计的新手来练练。

0x00 漏洞概述

通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化系统,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等。

该漏洞在绕过身份验证的情况下通过文件上传漏洞上传恶意php文件,组合文件包含漏洞最终造成远程代码执行漏洞,从而导致可以控制服务器system权限。

0x01 任意文件上传

网上很多信息,存在漏洞的文件就是ispirit/im/upload.php

由于php文件都是通过zend加密的,所以还需要zend解密工具解密才行。

至于zend解密工具,自行百度就OK了。

那么就来看看存在问题的那段代码吧!

$P = $_POST["P"];
if (isset($P) || ($P != "")) {
   
   
	ob_start();
	include_once "inc/session.php";
	session_id($P);
	session_start();
	session_write_close();
}
//如果有传递参数P,就可以绕过执行auth.php了,也就可以绕过了登录验证进行文件上传了。
else {
   
    
	include_once "./auth.php";
}

if-else语句一旦编写时出现判断失误,就会出现必要的执行步骤被忽略的可能。

我用burpsuite来试一下吧,如果直接在未登录情况下访问这个url是会提示用户未登录的。

https://cdn.jsdelivr.net/gh/A1andNS/picgo/img/20200419134308.png

如果我传入一个P参数提交,就会发现成功绕过了登录认证,并且PHPSESSID被设置为了P参数。

https://cdn.jsdelivr.net/gh/A1andNS/picgo/img/20200419134233.png

接下来继续看又有一个IF-else语句,是判断DEST_UID

$TYPE = $_POST["TYPE"];
$DEST_UID = $_POST["DEST_UID"];
$dataBack = array();
if (($DEST_UID != "") && !td_verify_ids($ids)) {
   
   	//验证DEST_UID是否为非数字
	$dataBack = array("status" => 0, "content" => "-ERR " . _("接收方ID无效"));
	echo json_encode(data2utf8($dataBack));
	exit();
}

if (strpos($DEST_UID, ","
最低0.47元/天 解锁文章
实现通达OA v在线用户登录漏洞漏洞复现安全方法
UgzWeb的博客
09-27 561
本文介绍了如何实现通达OA v在线用户登录漏洞漏洞复现,并提供了一些安全方法来预防此类漏洞。通过及时更新和升级系统、强化身份验证、实施安全审计和监控、加强访问控制以及提供安全培训和意识提升,可以大大提高通达OA v系统的安全性,并减少潜在的安全风险。本文将详细介绍如何实现通达OA v在线用户登录漏洞漏洞复现,并提供一些安全方法来防止此类漏洞安全培训和意识提升:为系统管理员和用户提供相关的安全培训和意识提升,使其了解常见安全威胁和最佳实践,以减少人为因素引起的安全漏洞。如果成功登录,说明漏洞存在。
漏洞复现-通达OA通达OA WHERE_STR 存在前台SQL注入漏洞
xiaokp7的博客
02-18 1039
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。通达OA WHERE_STR存在前台SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感信息。
文件上传漏洞_通达OA前台任意文件上传漏洞+文件包含漏洞导致getshell
weixin_39993623的博客
12-11 1669
点击蓝字|关注我们通达OA前台任意文件上传漏洞+文件包含漏洞导致getshell一、漏洞介绍/Profile/通达OA介绍:通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,北京通达信科科技有限公司是一支以协同管理软件研发与实施、服务与咨询为主营业务的高科技团队,是国内协同管理软件行业里唯一一家央企单位,中国协同管理软件的...
通达OA未授权上传文件包含RCE
BROTHERYY的博客
08-20 877
一、漏洞情况 此漏洞是由未授权上传和本地文件包含两个漏洞组合而形成的rce漏洞 文件上传地址: http://localhost:80/ispirit/im/upload.php 本地文件包含地址: http://localhost:80/ispirit/interface/gateway.php 需要复现的朋友私信我,我分享链接给你 安装很简单,一路next就OK。 登录账号是:admin,密码为空。 登录以后,抓取任意数据包,将数据包修改为下面的数据 POST /ispirit/im/upload.ph
通达OA V11.3 代码审计文件上传文件包含、任意用户登录漏洞
Alexz__的博客
09-23 3126
因为这段时间比较忙,抽出时间写博客很不容易,所以就简单的吧印象笔记里面的内容站上俩,没有写太多具体的分析过程,尽量都在截图中说明了 附件 通达OA11.3源码(未解码,可以自己去下SeayDzend解码) 链接:https://pan.baidu.com/s/17kItUwoPfPIeeK2ZnRnmEA 提取码:ALEX 文件上传漏洞: \ispirit\im\upload.php 5:$P参数非空即可绕过上传限制 ...
通达OA action_crawler.php 任意文件上传
qq_36334672的博客
01-31 1039
app=“TDXK-通达OA
漏洞复现-通达TongdaOA系列
aming小老弟
10-03 4868
通达OA 网络智能办公系统 是由北京通达信科科技有限公司开发的一款办公系统采用基于WEB的企业计算,主HTTP服务器采用了世界上最先进的Apache服务器,性能稳定可靠。数据存取集中控制,避免了数据泄漏的可能。提供数据备份工具,保护系统数据安全。多级的权限控制,完善的密码验证与登录验证机制更加强了系统安全性。自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台2015年,通达OA入驻阿里云企业应用专区,为众多中小企业提供稳定、可靠的云计算支撑。
漏洞复现通达OA后台im任意文件上传漏洞
xiaokp7的博客
06-19 1122
通达OA是一款基于Web的企业级办公自动化软件,旨在提高组织内部工作效率和协同能力。它以电子邮件、日程安排、文档管理、人力资源、财务管理等模块为基础,满足企业内部各个部门的需求。通达OA “组织”->”管理员”->附件上传处存在任意文件上传漏洞,结合 “系统管理”->”附件管理”->”添加存储目录”,修改附件上传后保存的路径,最终导致getshell。
通达OA任意文件上传/文件包含RCE漏洞分析
god_Zeo的安全博客
03-30 2860
通达OA任意文件上传/文件包含RCE漏洞分析0x01 前提0x01 漏洞介绍0x02 漏洞分析首先下载安装绕过身份验证文件上传部分变量传递问题文件包含部分 0x01 前提 关于这个漏洞: ​ 利用方式大致有两种: 包含日志文件。 绕过身份验证文件上传然后在文件包含。 0x01 漏洞介绍 通达OA系统代表了协同OA的先进理念,16年研发铸就成熟OA产品,协同OA软件行业唯一央企团队研发,多次摘取...
通达OA_文件包含漏洞
黑剑
09-08 1226
复现靶场:通达2017版漏洞文件:td\webroot\ispirit\interface\gateway.php漏洞地址: /mac/gateway.php漏洞POC:json={“url”:“/general/…/…/mysql5/my.ini”}
通达OA任意文件上传_文件包含GetShell1
08-03
在这个特定的案例中,提到的是一个存在于通达OA V11版本的安全漏洞,允许攻击者进行任意文件上传。 2. **任意文件上传漏洞** - 该漏洞使得攻击者能够绕过身份验证机制,上传任意类型的文件到服务器。这通常是由于...
精选资源
通达OA未授权、有限制未授权、upload——rce的poc.rar
09-02
最后,POC3有条件的任意用户未授权.py表明,存在一种情况,即在满足某些条件的情况下,任何用户都可能获得未授权的访问权限。这可能涉及到某种逻辑错误或者权限设置的疏忽,攻击者可以通过触发特定条件,达到非法...
通达oa wbupload.php,通达OA未授权文件上传&任意文件包含导致RCE分析
weixin_33330762的博客
03-11 728
影响范围V11.3版2017版2016版2015版2013版2013增强版漏洞简介通过未授权访问进入上传上传图片马,使用任意文件包含getshell漏洞分析未授权访问文件上传漏洞点位于/ispirit/im/upload.php,首先看到如下代码$P = $_POST["P"];if (isset($P) || ($P != "")) {ob_start();include_once "inc/...
通达OA未授权任意文件上传文件包含导致远程代码执行漏洞
Adminxe的博客
05-03 2607
0x00 前言 通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。 0x01 漏洞简介及影响版本 3月13日,通达OA在官方论坛发布通告称,近日接到用户反馈遭到勒索病毒攻击,提示用户注意安全风险,并且于同一天对所有版本发布了加固补丁。 通达OA V11版 <= 11...
漏洞挖掘之通达OA2017任意文件上传漏洞已失效)
crowsec
02-10 3590
通达OA系统代表了协同OA的先进理念,16年研发铸就成熟OA产品,协同OA软件行业唯一央企团队研发,多次摘取国内OA软件金奖,拥有2万多家正式用户,8万多家免费版用户。
通达OA后台 update文件包含漏洞
xiaokp7的博客
08-03 652
通达OA是由北京通达信科科技有限公司自主研发的协同办公自动化系统,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等。通达OA v11.8以下存在文件上传接口,可上传 .user.ini 文件包含PHP语句的文件导致命令执行。
通达OA任意文件删除/OA未授权访问+任意文件上传RCE漏洞复现
Adminxe的博客
09-22 1853
0x00 简介 通达OA采用基于WEB的企业计算,主HTTP服务器采用了世界上最先进的Apache服务器,性能稳定可靠。数据存取集中控制,避免了数据泄漏的可能。提供数据备份工具,保护系统数据安全。多级的权限控制,完善的密码验证与登录验证机制更加强了系统安全性。 今天看了好多通达OA的文章,根据护网中出现的一些0day,进行一波分析,其中感觉9hu大佬分析的很到位,然后来以此为基准,一起来看一下这个影响较深的漏洞。然后我自己感觉,出现的漏洞只是表面的一些,其中还有肯定是未公布的,包括我之前在别的版本审..
通达oa add.html存在未授权访问漏洞(CVE-2024-10598)
缘梦未来的博客
11-19 773
通达OA系统,即Offic Anywhere,又称为网络智能办公系统,是通达科技公司针对各行业办公与管理开发的办公应用系统。通达OA系统采用领先的B/S架构,采用基于WEB网络的开发方式,能够使得企业及个人办公不再受地域限制,实现信息化、自动化、移动化高效便捷办公。
加热激光雪深监测站守护冬季道路安全
最新发布
pingao141378的博客
12-17 342
设备采用相位式激光测距技术,通过无线电波段频率调制激光束,精准捕捉往返雪面的相位延迟,测量误差仅 ±2%,分辨率达 1mm,能清晰捕捉从 0.05 米薄雪到 5 米厚雪的动态变化。而加热激光雪深监测站搭载 “主动加热 + 被动防霜” 双重防护体系,内置自动温控加热模块,当探头温度接近冰点时自动启动 15W 功耗加热,快速融化薄霜并预防结冰,配合 IP65 高防护等级外壳与纳米防霜涂层,即便在 100 高湿度环境中也能隔绝雨雪沙尘,实现 7×24 小时不间断监测,解决了低温停机的行业痛点。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值