通达OA RCE分析及复现_xray 通达oa-rce

▶漏洞描述

通达OA是北京通达信科科技有限公司出品的 "Office Anywhere 通达网络智能办公系统"。

3月13日，通达OA在官方论坛发布通告称，近日接到用户反馈遭到勒索病毒攻击，提示用户注意安全风险，并且于同一天对所有版本发布了加固补丁。

在受影响的版本中，攻击者可以在未认证的情况下向服务器上传jpg图片文件，然后包含该文件，造成远程代码执行。该漏洞无需登录即可触发。

▶漏洞影响版本

• V11版
• 2017版
• 2016版
• 2015版
• 2013增强版
• 2013版

▶ 漏洞分析与复现

任意文件上传

在厂商补丁的其他版本中出现了ispirit/im/upload.php这个路径，跟进来一看实际上是一个很明显的文件上传漏洞，而且是未授权的文件上传，分段来看一下代码。

先看未授权部分，P不为空的情况下，包含inc/session.php，并且通过 session_id 注册 session ，P可通过 POST['P'] ，因此不多赘述。

$P = $_POST["P"];
if (isset($P) || ($P != "")) {
	ob_start();
	include_once "inc/session.php";
	session_id($P);
	session_start();
	session_write_close();
}

再看下面这一小段，假设 DEST_UID 为空的情况下，会直接返回接收方ID无效相关信息，并且退出，因此这里的处理方式也很简单， DEST_UID 可通过 POST["DEST_UID"] 搞定，这里也不多赘述了。

$DEST_UID = $_POST["DEST_UID"];
$dataBack = array();
if (($DEST_UID != "") && !td_verify_ids($ids)) {
	$dataBack = array("status" => 0, "content" => "-ERR " . _("接收方ID无效"));
	echo j