登录
通达oa漏洞,通达oa任意用户登录漏洞分析
我来回答
翟功香
回答
1.漏洞影响:攻击者可以通过构造请求,完成任意用户登录,包括管理员,登录之后可进一步上传恶意文件控制网站服务器。
2.影响版本:通达OA < 11.5版本
3.官方补丁下载地址:【通达OA】办公就用通达OA,通达OA官方网站_OA系统_协同办公
4.POC
漏洞分析
首先来看POC,这是POC里面最关键的一个函数来看看做了什么,访问/general/login_code.php是一张二维码
下载保存到本地,文本编辑器打开,图片中会有一个uid,取出来,然后构造成一个POST包发到/logincheck_code.php,会返回一个session,浏览器中替换session即可获得管理员权限
问题应该是出在logincheck_code.php文件中,来看这个文件,在12行直接从$_POST["UID"]中取值,然后在15行做了一个判断,判断如果不通过的话就exit,退出程序
然后下面就是从mysql中取数据,在然后赋值给session,整个过程一马平川。
然后再回过头来看if语句,主要代码在这一句,只要取出来的cache不为空,即可绕过if语句
TD::get_cache("CODE_LOGIN" . $CODEUID);
根据命名规则全局搜索一下,设置这个缓存的地方,这个就是我们POC里面出现的 login_code文件,设置了cache,并且输出了code_uid,访问页面即可获得,漏洞利用完成。
收起
2021-10-12
万竹程
回答
这个回答可以分为两部分,第一部分通达OA前台管理员伪造登录,第二部分后台附件getshell。就当作为一个笔记吧。
漏洞复现
管理员伪造登录
找到后台登录地址抓包修改url
删除cookie目的是返回管理员cookie
删除encode_type=1后面的值,替换成UID=1
后台getshell
找到附件管理,看看有没有附件保存地址。若没有,则添加个。
在会话页面找到自己,发送shell文件,抓包改包。
收起
2021-10-12
终茜姬
回答
0x00 漏洞介绍:通达OA一套办公系统2020.4.17官方公布修复了一个任意用户伪造cookie登录漏洞,用户 可伪造cookie以管理员身份登录。
0x01 影响版本
通达OA2017
V11.X<V11.5
0x02 漏洞分析
在logincheck_code.php中,uid参数会直接通过post参数传达,在通达oa中uid=1就是管理员身份;
而且在传参过程需要code_login参数,在/general/login_code.php中可以找到code_login参数;
在Logincheck_code.php中uid参数被以session形式保存,这样就构成了我们伪造管理员身份的条件
0x03 漏洞复现
下载通达OA,直接访问本地。
收起
2021-10-09
所在分类
企业协同办公平台
消息通知
咨询入驻
商务合作
