前不久，通达OA系统官方网公布了一条安全补丁，透露了最近发生网络攻击利用通达OA

系统文件上传和zip文件含有BUG释放出比特币病毒的攻击事情，网络攻击利用BUG提交websh

ell掩藏OA系统扩展程序的免费下载提醒网页代码，引导用户网页下载运行比特币病毒，官网应

急公布了各版本号的安全防护防护升级包。

 

从官网公布的升级包深入分析，通达OAV11以内版本号仅普遍存在未安全认证随意文件上传BU

G；通达OAV11版本号则普遍存在未安全认证随意文件上传及其随意zip文件含有2个BUG，网

络攻击可在通达OAV11版本号利用2个BUG构建组成利用链，最终在目标网站服务器上运行随

意源代码。

 

 

网站漏洞重现,建立通达OAV11版本号BUG环镜，利用构建文件上传绕开，建立PHPzip文件顺

利上传到目标网站服务器。成效如下所示图：利用zip文件含有BUG，构建攻击数据，顺利浏

览到目标网站服务器的nginx网站服务器系统日志。成效如下所示图：

 

 

利用组成利用2个BUG，最终建立程序运行利用：事情深入分析，据SINE安全防护团队深入分

析，这次利用BUG实现攻击的是一种die语句编程的比特币病毒，利用3des加密+AES优化算

法加锁，临时找不到透明化的破译软件。比特币病毒实现加锁之后会在每一个文件目录下释放

出勒索等等数据zip文件readme_readme_readme.txt，向用户勒索等等0.3BTC，主要内容如下

所示图示：

 

 

并且加锁之后会并找不到更改指定的后缀名，反而是在原来的文件后缀名的最终再加上1个“1”

：恶意的zip文件详细解读。该比特币病毒利用die语句编程，找不到免杀或去抽象化，作用比

较简单，从main中能够看见大体上的运行步骤：利用base64编解码3des加密加锁任意产生的

AES优化算法的公匙，并且用公匙加锁AES密匙：将加锁后的密匙拼接到勒索等等数据中，紧

接着解析xml文件目录释放出勒索等等数据zip文件。
 

 

利用AES优化算法文件加密：升级包深入分析，在通达OA系统所公布的升级包中，共修补了

通达OA2003版、2016增强版、2014年版、2019版、2018版和V11版。全部版本号均修补了

ispirit/im/upload.phpzip文件，下面的图图示就是upload.php修补前后左右的源代码（左侧为

修补前源代码，右侧为修补后的源代码）：从修补的地儿看得出，利用关闭‘include_once“./

auth.php”;’的else判断條件，将以前的条件性安全认证更改为强制性安全认证，促使用户在文

件上传前都需要运行认auth.php安全认证利用，明确是不是为登陆模式。在修补前的upload.

phpzip文件的源代码中，假如url地址配置中含有了P配置，就能够绕开此安全认证利用。利

用构建含有配置P的post请求包，就可以立即实现文件上传。

 

 

在通达OAV11版本号中，官网还附加修补了ispirit/interface/gateway.phpzip文件，下面的图

图示就是gateway.php修补前后左右的源代码（左侧为修补前源代码，右侧为修补后的源代

码）：

 

 

从上述源代码中，能够看见该API未含有auth.phpzip文件实现安全认证，因此该利用无需登

陆安全认证，且在zip文件最终，运行了zip文件含有用“include_once$url地址;”并且运行该

语句的條件也非常简单，就是相对路径中普遍存在general、ispirit、module当中1个相对路

径就可以。且$url地址为外界可以控制 配置，$url地址配置来自url地址的json配置。从这儿

能够看得出，网络攻击能够利用构建post请求，建立随意zip文件含有。
 

 

 

从上述的升级包深入分析能够看得出，在通达OAV11以内各版本号均普遍存在未安全认证

随意文件上传BUG；而在通达OAV11版本号中，普遍存在未安全认证随意文件上传及其随

意zip文件含有BUG。网络攻击能够在通达OAV11版本号中，利用2个BUG的组成利用，进

行远程操作程序运行利用。