通達(dá)oa漏洞，通達(dá)oa任意用戶登錄漏洞分析

作者：考璣

時(shí)間：2021-08-24

我來(lái)回答

共3個(gè)回答

翟功香

回答

1.漏洞影響：攻擊者可以通過(guò)構(gòu)造請(qǐng)求,完成任意用戶登錄,包括管理員，登錄之后可進(jìn)一步上傳惡意文件控制網(wǎng)站服務(wù)器。 2.影響版本：通達(dá)OA < 11.5版本 3.官方補(bǔ)丁下載地址：【通達(dá)OA】辦公就用通達(dá)OA,通達(dá)OA官方網(wǎng)站_OA系統(tǒng)_協(xié)同辦公 4.POC 漏洞分析首先來(lái)看POC，這是POC里面最關(guān)鍵的一個(gè)函數(shù)來(lái)看看做了什么，訪問(wèn)/general/login_code.php是一張二維碼下載保存到本地，文本編輯器打開，圖片中會(huì)有一個(gè)uid，取出來(lái)，然后構(gòu)造成一個(gè)POST包發(fā)到/logincheck_code.php,會(huì)返回一個(gè)session，瀏覽器中替換session即可獲得管理員權(quán)限問(wèn)題應(yīng)該是出在logincheck_code.php文件中，來(lái)看這個(gè)文件，在12行直接從$_POST["UID"]中取值，然后在15行做了一個(gè)判斷，判斷如果不通過(guò)的話就exit，退出程序然后下面就是從mysql中取數(shù)據(jù)，在然后賦值給session，整個(gè)過(guò)程一馬平川。然后再回過(guò)頭來(lái)看if語(yǔ)句，主要代碼在這一句，只要取出來(lái)的cache不為空，即可繞過(guò)if語(yǔ)句 TD::get_cache("CODE_LOGIN" . $CODEUID); 根據(jù)命名規(guī)則全局搜索一下，設(shè)置這個(gè)緩存的地方，這個(gè)就是我們POC里面出現(xiàn)的 login_code文件，設(shè)置了cache，并且輸出了code_uid，訪問(wèn)頁(yè)面即可獲得，漏洞利用完成。收起

2021-10-12

萬(wàn)竹程

回答

這個(gè)回答可以分為兩部分，第一部分通達(dá)OA前臺(tái)管理員偽造登錄，第二部分后臺(tái)附件getshell。就當(dāng)作為一個(gè)筆記吧。漏洞復(fù)現(xiàn) 管理員偽造登錄找到后臺(tái)登錄地址抓包修改url 刪除cookie目的是返回管理員cookie 刪除encode_type=1后面的值，替換成UID=1 后臺(tái)getshell 找到附件管理，看看有沒有附件保存地址。若沒有，則添加個(gè)。在會(huì)話頁(yè)面找到自己，發(fā)送shell文件，抓包改包。收起

2021-10-12

終茜姬

回答

0x00 漏洞介紹：通達(dá)OA一套辦公系統(tǒng)2020.4.17官方公布修復(fù)了一個(gè)任意用戶偽造cookie登錄漏洞，用戶可偽造cookie以管理員身份登錄。 0x01 影響版本通達(dá)OA2017 V11.X<V11.5 0x02 漏洞分析在logincheck_code.php中，uid參數(shù)會(huì)直接通過(guò)post參數(shù)傳達(dá)，在通達(dá)oa中uid=1就是管理員身份；而且在傳參過(guò)程需要code_login參數(shù)，在/general/login_code.php中可以找到code_login參數(shù)；在Logincheck_code.php中uid參數(shù)被以session形式保存，這樣就構(gòu)成了我們偽造管理員身份的條件 0x03 漏洞復(fù)現(xiàn) 下載通達(dá)OA，直接訪問(wèn)本地。收起

2021-10-09

其它產(chǎn)品問(wèn)答

提問(wèn)

如何解決通達(dá)oa在使用過(guò)程中出現(xiàn)的問(wèn)題？

氪友8jRA

回答

您可以通過(guò)官方網(wǎng)站提供的問(wèn)題解答、客服電話或郵件聯(lián)系客服人員，解決在使用過(guò)程中遇到的問(wèn)題。

2023-06-04

1 個(gè)回答

提問(wèn)

如何購(gòu)買通達(dá)oa的產(chǎn)品與授權(quán)？

氪友a(bǔ)FhW