php

影响 影响范围(但是只有V11版和2017版有包含文件的php,其余版本能上传文件.): V11版 2017版 2016版 2015版 2013增强版 2013版。 这个漏洞是几个月前的漏洞，主要是学习一下这个漏洞代码的形成原理和调式过程。 该漏洞主要是通过绕过身份验证的情况下上传文件，然后通过文件包含漏洞实现代 码执行 代码分析 源码经过zend 5.4加密,解密工具: SeayDzend,可以自行百度下载 在线解密 http://dezend.qiling.org/free.html 任意文件上传的关键文件 webroot\ispirit\im\upload.php 代码分析: 可以看到只要判断P参数是否不为空，就开启了session 没有P参数时候 有的时候 继续往下走 判断DEST_UID是否不为空，否则就会退出 判断DEST_UID=0的时候，如果UPLOAD_MODE不等于2就直接退出了 判断DEST_UID不等于0的时候直接判断$_FILES数量是否有，也就是判断有没有上传文件 这里可以是第二个情况，DEST_UID=0，UPLOAD_MODE=2进行下一步 也可以是DEST_UID不为0进入下一步 继续往下走 可以这里又if语判断上传的模式，我们来看看上传的模式有哪几种，可以看到总共有1,2,3，其中1,2,3如果成功了是有回显的 这里设置upload_mode为1

No.1 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。 No.2 引言 开篇的首先感谢l1nk3r大佬的帮助。 前天看到通达OA官方发布的一则更新公告 http://club.tongda2000.com/forum.php?mod=viewthread&tid=128377&extra=page%3D1 No.3 第一个漏洞点 下了2017版本和最新版本的代码（这里遇到了一个坑点，2017版本的相当于只有漏洞的一半，为啥是一半后面会提到） 下载地址如下：http://www.tongda2000.com/download/2017.php 打开以后发现php代码都是混淆过后的（sublime打开如下图所示，用其他编辑器打开是乱码） 通达OA的代码加密方式用的是zend，网上找在线解密即可 也可以下载批量解密工具进行解密 然后我下载了对应版本的补丁包。通过查看补丁包发现主要是针对某一个文件进行补丁 然后针对未打补丁的和打补丁的进行对比查看，发现主要不同点在include_once('auth.php')这里

0x00 漏洞背景 2020年04月22日， 360CERT监测发现 通达OA官方 发布了编号为 11.5.200417 的更新通告，此次更新修复了一枚权限提升漏洞，漏洞等级： 高危 。 通达OA是由北京通达信科科技有限公司研发的一款通用型OA产品，涵盖了个人事务、行政办公、流程审批、知识管理、人力资源管理、组织机构管理等企业信息化管理功能。2015年，通达云OA入驻阿里云企业应用专区，已为众多中小企业提供了稳定、可靠、强悍的云计算支撑。 通达OA 存在 权限提升漏洞 ， 攻击者 通过 发送特制请求包 ，可以造成 权限提升(未认证用户提升到管理员) 。 对此，360CERT建议广大用户及时安装最新补丁，做好资产自查以及预防工作，以免遭受黑客攻击。 0x01 风险等级 360CERT对该漏洞的评定结果如下 评定方式 等级 威胁等级 高危 影响面 有限 0x02 漏洞详情 在 通达OA 存在如下代码逻辑 $UID = intval( $_POST [ "UID" ]); ... $query = "SELECT * from USER where UID=' $UID '" ; if($ROW = mysql_fetch_array( $cursor )){ $USER_ID = $ROW [ "USER_ID" ]; $PWD = $ROW [ "PASSWORD" ];