通达OA任意文件上传漏洞应急响应教学文档

1. 漏洞概述

通达OA精灵Office Anywhere 2017版本10.20.200417存在任意文件上传漏洞，攻击者可通过特定路径/general/data_center/utils/upload.php上传Webshell后门文件，获取服务器控制权限。

2. 漏洞发现与确认

2.1 初始发现

• 通过态势感知系统发现8条webshell后门连接行为高危告警
• 访问告警URL验证确认后门文件存在
• 系统环境：
  • 通达OA精灵Office Anywhere 2017版本10.20.200417
  • Nginx中间件
  • 内网服务器地址10.0.1.8
  • 绑定域名xxxxxx.com

2.2 后门文件特征

• 文件名特征：随机字母组合如_gnLbAed.php、_DvGJJgj.php
• 文件修改时间：2021年3月9日19:42:02（首次发现）
• 上传路径：网站根目录及/upload_temp/2005/等隐蔽目录

3. 日志分析方法

3.1 Nginx日志分析

1. 按时间范围检索（示例：3月1日-3月10日）
2. 搜索特定后门文件名（如_gnLbAed.php）
3. 关键发现：
   • GET访问流量与文件修改时间吻合
   • POST数据提交操作位于GET操作前
   • 上传路径为/general/data_center/utils/upload.php

3.2 WAF日志分析

1. 导出WAF日志
2. 过滤特定后门文件名（如logins.php）
3. 发现攻击链：
   • 中国菜刀通过_DvGJJgj.php上传logins.php
   • 攻击IP变化：从11x.xxx.xx.x到境外代理IP

4. 攻击复现与验证

4.1 漏洞利用步骤

1. 获取任意用户登录漏洞的cookie
2. 利用cookie访问上传接口：
   /general/data_center/utils/upload.php
3. 上传Webshell后门文件
4. 文件名生成规则：随机字母组合（如gLpu09n.php）

4.2 本地验证

1. 搭建相同版本通达OA环境
2. 使用漏洞利用工具测试
3. 确认可生成类似命名的后门文件
4. 检查日志确认上传路径一致

5. 应急响应流程

5.1 后门查杀

1. 使用专业工具：
   • 数字杀毒软件
   • D盾后门查杀工具
2. 全面扫描Web目录
3. 特别注意隐蔽目录（如/upload_temp/2005/）

5.2 攻击链分析

1. 首次攻击（19:42:02）：
   • 上传_gnLbAed.php
2. 二次攻击（20:05:00）：
   • 上传_DvGJJgj.php
3. 后续操作：
   • 通过_DvGJJgj.php上传logins.php
   • 移动后门文件到隐蔽目录

5.3 修复建议

1. 立即修补通达OA漏洞
2. 检查所有可能的上传接口权限
3. 加强日志监控，特别是：
   • /general/data_center/utils/upload.php访问
   • 非常规php文件创建
4. 部署WAF规则拦截可疑上传行为

6. 防护措施

6.1 短期措施

1. 删除所有可疑后门文件
2. 修改服务器所有密码
3. 检查系统是否有其他可疑账户

6.2 长期措施

1. 定期更新OA系统补丁
2. 实施严格的文件上传限制：
   • 文件类型白名单
   • 文件内容检查
   • 上传目录不可执行
3. 加强日志审计：
   • 记录所有文件操作
   • 设置异常行为告警

7. 工具推荐

1. 查杀工具：
   • D盾
   • 数字杀毒软件
2. 日志分析工具：
   • ELK Stack
   • Splunk
3. 监控工具：
   • 态势感知系统
   • WAF防火墙

8. 总结

本次应急响应展示了通达OA任意文件上传漏洞的完整攻击链，攻击者通过漏洞上传多个Webshell后门，并使用隐蔽手段维持访问权限。通过全面的日志分析和专业的查杀工具，可以有效发现和清除后门，但根本解决方案在于及时修补漏洞和加强系统防护。