一、漏洞概述

注 : 本文僅以安全研究為目的 , 分享對(duì)該漏洞的挖掘過程 , 文中涉及的所有漏洞均已報(bào)送給國家單位 , 請(qǐng)勿用做非法用途。

通達(dá) OA 是國內(nèi)常用的智能辦公系統(tǒng)，為各行業(yè)不同規(guī)模的眾多用戶提供信息化管理能力，包括流程審批、行政辦公、日常事務(wù)、數(shù)據(jù)統(tǒng)計(jì)分析、即時(shí)通訊、移動(dòng)辦公等，幫助廣大用戶降低溝通和管理成本，提升生產(chǎn)和決策效率。

其組件定時(shí)任務(wù)服務(wù) OfficeTask 開放 udp 端口 2397，未授權(quán)接收數(shù)據(jù)，并根據(jù)數(shù)據(jù)中的命令控制字符串，執(zhí)行指定任務(wù)。導(dǎo)致存在未授權(quán)任意 php 文件執(zhí)行、SQL 注入漏洞。

二、影響范圍

最新版通達(dá) OA 13.2（更新時(shí)間 2025-02-14 13:39）

三、漏洞分析

使用的版本為官網(wǎng)最新版，通達(dá) OA（V13 版）13.2。下載地址：

https://www.tongda2000.com/download/p2024.php

安裝好后，將創(chuàng)建通達(dá)定時(shí)任務(wù)服務(wù) Office_Task，并開機(jī)自啟動(dòng)。

通達(dá)定時(shí)任務(wù)服務(wù) OfficeTask.exe 在 0.0.0.0 地址開放 UDP 端口 2397，可以被外部直接訪問。

OfficeTask.exe 從 2397 端口接收到數(shù)據(jù)后，根據(jù)數(shù)據(jù)中的命令控制字符串，執(zhí)行指定任務(wù)。命令控制字符串與命令參數(shù)以空格分隔，任務(wù)包括執(zhí)行 php 文件，更新、備份數(shù)據(jù)庫等。

四、前臺(tái) RCE 漏洞

其中命令字符串 EXEC_HTTP_TASK_0 表示執(zhí)行指定 php 文件，命令參數(shù)為：php 文件名和路徑，可控。命令格式為：EXEC_HTTP_TASK_0 ..poc.php。

最終將創(chuàng)建 php.exe 進(jìn)程，將需要執(zhí)行的 php 文件拼接上通達(dá) OA 默認(rèn)安裝路徑 C:MYOAwebroot，一同作為參數(shù)傳遞給 php.exe 進(jìn)程執(zhí)行。具體執(zhí)行的命令，還會(huì)保存到默認(rèn)目錄下的 C:MYOAlogsOffice_Task.log 日志文件中。

由于是調(diào)用 php.exe 程序來執(zhí)行，并不能像日志中看到的那樣直接閉合雙引號(hào)來實(shí)現(xiàn)任意命令執(zhí)行，只能通過執(zhí)行惡意的 php 腳本文件來 RCE。

php.exe 命令執(zhí)行時(shí)通過 -f 參數(shù)傳遞待執(zhí)行的 php 文件，但是這里并不限制文件后綴必須為 php。所以可以通過下面的方式分成兩步來達(dá)到 RCE 效果。

命令執(zhí)行成功之后會(huì)在網(wǎng)站根目錄生成一句話木馬，文件路徑為 webshell /logon.php。

對(duì)于舊版本（V12.9 及以前的版本）的通達(dá) OA 需要把 EXEC_HTTP_TASK_0 替換為 EXEC_HTTP_TASK。

五、前臺(tái) SQL 注入漏洞

其中 FILE_SORT_UPD_3 命令字符串將執(zhí)行 SQL 語句 update 更新數(shù)據(jù)庫表 FILE_SORT 的內(nèi)容。

SQL 語句中的 SORT_ID 值和更新的內(nèi)容可控，未做任何過濾，存在 SQL 注入漏洞。

比如執(zhí)行如下 FILE_SORT_UPD_3 命令：

再查看 file_sort 表，其中 sort_id=1 的 SORT_NAME 數(shù)據(jù)修改為 2，這表明 SQL 注入已經(jīng)成功。

通過上面的分析可以看出此漏洞屬于 update 類型的 SQL 注入漏洞，只能進(jìn)行盲注，并且不支持多語句。為了更好的利用此漏洞，作者直接給出可以利用此漏洞通過 bool 盲注獲取數(shù)據(jù)庫中管理員用戶密碼的 exp 腳本。

對(duì)于舊版本（V12.9 及以前的版本）的通達(dá) OA 需要把 FILE_SORT_UPD_3 替換為 FILE_SORT_UPD。

六、參考鏈接

https://www.ddpoc.com/DVB-2025-8979.html

https://www.ddpoc.com/DVB-2025-8971.html

原文鏈接