一、前言
去北京的這幾天,旁邊的Az師傅在瘋狂的刷着他所期待的edu證書。某一次,就碰到致遠OA的站點,因爲之前也沒復現過,我就按照自己的思路給他說,之前拿OA這種站點,一般就是爆破用戶的弱口令,例如密碼:123456這種,或者說找一下歷史exp,然後一番嘗試之後,弱口令無果,只能另尋出路,回到EXP,這次直接實戰起來,還是有點手癢,也跟着操作了一番,在這裏拿到了Az師傅的原圖,來寫一篇文章。
二、漏洞介紹
致遠 A8+ 某些版本系統,存在遠程任意文件上傳文件上傳漏洞,並且無需登錄即可觸發。攻擊者構造惡意文件,成功利用漏洞後可造成Getshell。同時該系統的漏洞點在於致遠OA-A8系統的Servlet接口暴露,安全過濾處理措施不足,使得用戶在無需認證的情況下實現任意文件上傳。攻擊者利用該漏洞,可在未授權的情況下,遠程發送精心構造的網站後門文件,從而獲取目標服務器權限,在目標服務器上執行任意代碼。
三、影響版本
致遠A8-V5協同管理軟件 V6.1sp1
致遠A8+協同管理軟件V7.0、V7.0sp1、V7.0sp2、V7.0sp3
致遠A8+協同管理軟件V7.1
四、漏洞復現
第一步先訪問一下/seeyon/htmlofficeservlet這個目錄,如果訪問成功,如下圖所示,說明該網站很有可能存在漏洞(但是看一些表格發佈的文章說只要有這個就存在漏洞,但是在我實測的過程中,發現有很多有這個也不可以的)
下一步直接用我們的exp測試一下,如果有漏洞的話直接可以拿shell
我們執行完我們的exp,輸出了一個webshell地址,訪問一下確實存在,說明文件上傳成功。危害還是挺大的,直接就是系統管理員權限。
ipconfig
簡單的分析了一下exp,就是發送了一個post數據包,數據包內是構造的我們的jsp的腳本,可以執行cmd命令。
如果有漏洞就會輸出我們的webshell地址。
五、修復建議
1、在不影響系統正常使用的情況下,限制seeyon/htmlofficeservlet路徑的訪問。
2、聯繫致遠官方獲取補丁:http://www.seeyon.com/Info/constant.html
3、通過 ACL 禁止外網對“/seeyon/htmlofficeservlet”路徑的訪問
公開安全研究,禁止非法利用
轉載請註明:Adminxe's Blog » 致遠OA系統多版本Getshell漏洞復現