登錄
通達oa漏洞,通達oa任意用戶登錄漏洞分析
我來回答
共3個回答
翟功香
回答
1.漏洞影響:攻擊者可以通過構造請求,完成任意用戶登錄,包括管理員,登錄之后可進一步上傳惡意文件控制網站服務器。
2.影響版本:通達OA < 11.5版本
3.官方補丁下載地址:【通達OA】辦公就用通達OA,通達OA官方網站_OA系統_協同辦公
4.POC
漏洞分析
首先來看POC,這是POC里面最關鍵的一個函數來看看做了什么,訪問/general/login_code.php是一張二維碼
下載保存到本地,文本編輯器打開,圖片中會有一個uid,取出來,然后構造成一個POST包發到/logincheck_code.php,會返回一個session,瀏覽器中替換session即可獲得管理員權限
問題應該是出在logincheck_code.php文件中,來看這個文件,在12行直接從$_POST["UID"]中取值,然后在15行做了一個判斷,判斷如果不通過的話就exit,退出程序
然后下面就是從mysql中取數據,在然后賦值給session,整個過程一馬平川。
然后再回過頭來看if語句,主要代碼在這一句,只要取出來的cache不為空,即可繞過if語句
TD::get_cache("CODE_LOGIN" . $CODEUID);
根據命名規則全局搜索一下,設置這個緩存的地方,這個就是我們POC里面出現的 login_code文件,設置了cache,并且輸出了code_uid,訪問頁面即可獲得,漏洞利用完成。
收起
2021-10-12
萬竹程
回答
這個回答可以分為兩部分,第一部分通達OA前臺管理員偽造登錄,第二部分后臺附件getshell。就當作為一個筆記吧。
漏洞復現
管理員偽造登錄
找到后臺登錄地址抓包修改url
刪除cookie目的是返回管理員cookie
刪除encode_type=1后面的值,替換成UID=1
后臺getshell
找到附件管理,看看有沒有附件保存地址。若沒有,則添加個。
在會話頁面找到自己,發送shell文件,抓包改包。
收起
2021-10-12
終茜姬
回答
0x00 漏洞介紹:通達OA一套辦公系統2020.4.17官方公布修復了一個任意用戶偽造cookie登錄漏洞,用戶 可偽造cookie以管理員身份登錄。
0x01 影響版本
通達OA2017
V11.X<V11.5
0x02 漏洞分析
在logincheck_code.php中,uid參數會直接通過post參數傳達,在通達oa中uid=1就是管理員身份;
而且在傳參過程需要code_login參數,在/general/login_code.php中可以找到code_login參數;
在Logincheck_code.php中uid參數被以session形式保存,這樣就構成了我們偽造管理員身份的條件
0x03 漏洞復現
下載通達OA,直接訪問本地。
收起
2021-10-09
所在分類
企業協同辦公平臺
消息通知
咨詢入駐
商務合作
