某达OA 11.10代审尝试

导师叫我试着审一下某OA，只能说，这对萌新来说是否有点太过残忍了。

审计准备

源码下载：

https://cdndown.tongda2000.com/oa/2019/TDOA11.10.exe

源码解密：

由于该OA用的zend加密，网上搜一搜就有解密工具了

https://www.webshell.cc/6379.html

以前版本的漏洞及其修复方式

首先找找网上相近版本的审计，比如：

https://paper.seebug.org/1499/

https://paper.seebug.org/1492/

开始审计

大概了解结构

通过之前的审计可以看到，在inc/utility_file.php这个文件中，存在大量改写函数，如td_file_put_content。其核心改写是在调用file_put_content前对传入的参数进行了过滤，主要通过以下两个函数：

function is_uploadable($FILE_NAME, $checkpath, $func_name)
{
	$EXT_NAME = "";
	$POS = strrpos($FILE_NAME, ".");

	if ($POS === false) {
		$EXT_NAME = $FILE_NAME;
	}
	else {
		$EXT_NAME = strtolower(substr($FILE_NAME, $POS + 1));
		$EXT_NAME = filename_valid($EXT_NAME);
		if ((td_trim($EXT_NAME) == "") || (td_trim(strtolower(substr($EXT_NAME, 0, 3))) == "php")) {
			return false;
		}
	}

	if ($checkpath && !td_path_valid($FILE_NAME, $func_name)) {
		return false;
	}

	if (find_id(MYOA_UPLOAD_FORBIDDEN_TYPE, $EXT_NAME)) {
		return false;
	}

	if (MYOA_UPLOAD_LIMIT == 0) {
		return true;
	}
	else if (MYOA_UPLOAD_LIMIT == 1) {
		return !find_id(MYOA_UPLOAD_LIMIT_TYPE, $EXT_NAME);
	}
	else if (MYOA_UPLOAD_LIMIT == 2) {
		return find_id(MYOA_UPLOAD_LIMIT_TYPE, $EXT_NAME);
	}
	else {
		return false;
	}
}

function td_path_valid($source, $func_name)
{
	$source_arr = pathinfo($source);
	$source = realpath($source_arr["dirname"]);
	$basename = strtolower($source_arr["basename"]);

	if ($source === false) {
		return false;
	}

	if ($func_name == "td_fopen") {
		$whitelist = "qqwry.dat,tech.dat,tech_cloud.dat,tech_neucloud.dat,";
		if (((strpos($source, "webroot\inc") !== false) || (strpos($source, "webroot/inc") !== false)) && find_id($whitelist, $basename)) {
			return true;
		}
	}

	if ((strpos($source, "webroot") !== false) && (strpos($source, "attachment") === false)) {
		return false;
	}
	else {
		return true;
	}
}

经过过滤后，我们知道了以下几点：

1、不能没有.
2、不能.之后为空
3、.之后3个字符不能是PHP

思路

• 本文作者： Sn1pEr
• 本文链接： https://sn1per-ssd.github.io/2021/11/01/某达OA-11-10代审尝试/
• 版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！