搭建环境

服务器

　　虚拟机系统版本：Windows Server 2016。

安装服务端

　　这里我们下载的是2017版本的通达OA服务端；

　　配置服务；

　　这里我们将文件后缀修改为.php.即可成功上传，解读源码upload.php中只对php做了过滤，可以有多种方法绕过，这里不具体举例了。

　　在附件管理里添加附件保存路径；

　　上传附件；

　　可以看到文件路径和文件名，修改payload和文件后缀再次上传，并记住返回的文件名；

　　发送POST包，添加cmd命令即可执行；

　　TIPS：注意加上Content-Type，否则命令无法执行，别问我怎么知道的TAT。

　　同样是上一步的payload，在/mac/gateway.php文件中存在文件包含漏洞。

　　上传文件并通过命令执行漏洞执行文件，会产生一个同目录下文件名为readme.php的后门文件，用的是冰蝎的PHP木马；

　　用冰蝎连SHELL；

成功getshell，撒花✿✿ヽ(°▽°)ノ✿~

发表于 2020-04-06 17:46 DioHch 阅读(4996) 评论(0) 编辑收藏举报