通达OA介绍通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台 2015年,通达云OA入驻阿里云企业应用专区,为众多中小企业提供稳定、可靠的云计算支撑 通达OA可供用户免费下载使用,安装简单,默认安装了Nginx、mysql等服务,系统默认由System权限启动 两万多家正式用户,说明用户使用量还是挺多的,可被攻击的目标也多 近期漏洞事件近日,通达OA官方论坛发布了一则安全更新,披露了近期出现攻击者利用通达OA文件上传和文件包含漏洞释放勒索病毒的攻击事件,攻击者通过漏洞上传webshell伪装OA插件的下载提示页面,诱导用户点击下载运行勒索病毒 漏洞原因姿势1:未授权文件上传 + 文件包含 姿势2:Nginx日志 + 文件包含 文件上传+文件包含利用文件包含漏洞,包含上传的图片 由于文件包含漏洞所包含的文件会以当前网站使用的脚本语言来解析,所以木马图片可以被当作php木马文件来执行 下面上传包含命令执行功能的图片木马,整个攻击过程无需登录 请求数据包 返回包 木马上传成功,“915937702.jpg”就是我们上传的图片木马 接着,构造数据包,利用文件包含漏洞,使图片以php语言执行查询命令 请求包 返回包 通过执行指令返回当前网站权限为System权限,这代表什么意思?! 相信有一些基础的同学都知道,代表了对目标电脑的最高控制权限了,可以执行任意指令 接下来,也可以上传大马,直接控制服务器 Nginx日志 + 文件包含通达OA系统安装后默认安装了Nginx,使用文件包含漏洞包含Nginx日志 我们在访问网站的时候,由于所有请求都会记录到Nginx日志中,这些日志包含了我们的访问IP、访问的网页、路径等信息 因此,我们可以构造一个带有一句话木马代码的地址进行访问 由于浏览器会将特殊字符进行URL编码,这里使用burpsuite进行解码后发送 虽然服务器没有这个网页,但是会记录这个地址在日志中 查看Nginx日志文件,一句话木马代码已经在Nginx日志文件里生成
使用WebShell管理工具进行连接一句话木马 成功获取到WebShell
可以任意管理目标服务器文件了
由于通达OA默认安装了MYSQL,默认端口为3336 \MYOA\mysql5\my.ini文件保存着Root账号密码
使用当前工具利用查到的密码进行数据库连接,以root用户连接成功 数据库被控制,意味着可以随意更改数据库信息、增加管理员、下载用户信息等
该漏洞所有利用代码以及利用工具,已分享到圈子的私家干货里 并且我也放入了通达OA的有漏洞版本的安装包,大家可以自己安装后进行实验 加入圈子,获得更多实战教程、资源福利 防范目前通达OA官方紧急发布了各版本的安全加固补丁,通过更新相关补丁,即可修复这些漏洞 |
|
|
