通达OA11.6 preauth RCE 0day分析
0x00关于本文 这漏洞我7.4挖出来交给先知,6号审核通过 但是迟迟不发奖金,再留言就又是审核中,一直审核到现在 (怀疑是因为厂商7.5的新版本就不收影响了,阿里觉得亏了?) 护网听说这玩意爆出来了,群里面看知道创宇都有漏洞详情了,感觉吧这个烂在我手上显得没价值,倒不如在EXP流传的到处都是之前,放出来找找乐子 exp放在了 https://github.com/TomAPU/poc_and_exp/blob/master/rce.py 需要者自取( 注意,该EXP不是无损EXP,会删除auth.inc.php让OA无法正常工作 ) 这个漏洞结合了任意文件删除漏洞以及文件上传漏洞,需要两个漏洞配合才可以实现preauth rce 复现需要的11.6安装我传到Google上面了:https://drive.google.com/file/d/1L3wG58EQpCufwqoTRP3lFq7IY6PYYqZ-/view?usp=sharing 需要者自取 0x01貌似鸡肋的任意文件删除漏洞 首先漏洞是在/module/appbuilder/assets/print.php里面 一眼看过去,就是把get里面的guid传过去然后删除掉 但是任意文件删除漏洞除了搞破坏有什么卵用呢,反正一眼看过去是没什么卵用的 0x02化腐朽为神奇的身份绕过 尽管删文件看似只能做破坏,但在某些时候也能绕过一些认证!这是怎么做到的呢? 我们来看看通达OA里常用来做身份校验的代码 这里呢,简单来讲就是把auth.inc.php给包含进来,如果没有对应session的话,auth.inc.php就会作为“拦路虎”,让用户去登陆,但是删掉会怎么样? 这里就要看php里面include和require的区别了 这两个东西看起来很相似,都是包含嘛,但是稍稍学过洋文的都知道,include的意思指的是包含,而require却有要求的意思,在这里就可以看出点区别了。 如果要包含的文件找不着,include就索性跳过去了,而require是要求,感觉更加强烈一些,找不着文件就撒泼打滚fatal error停止不前了。 而恰巧通达OA里面用的都是include,于是如果发现auth.inc.php失踪了,就会直接跳过去! 因此我们只需要利用前面的漏洞,删掉auth.inc.php,即可跳过通达OA里面大部分