通达OA v11.7 在线用户登录漏洞复现(附带一键getshell脚本)

最新推荐文章于 2024-05-31 10:26:40 发布
最新推荐文章于 2024-05-31 10:26:40 发布
阅读量718 收藏 24
点赞数 24
文章标签: javascript ecmascript 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Innocence_0/article/details/138990423
版权

在文章的顶部先说明,本文章所介绍的内容以及所附带的脚本仅供学习,如果存在有牟利行为,个人负责!!!仅用于学习娱乐,切勿用于非法用途!请于下载后24小时内删除,使用者承担所有法律责任!一个类似于越权的漏洞,但是利用的方式确实比较特殊

访问漏洞页面获取phpsession

http://x.x.x.x/mobile/auth_mobi.php?isAvatar=1&uid=1&P_VER=0

<img src="https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/d9ca907414ca45b0bc124b7316598c26~tplv-k3u1fbpfcp-zoom-in-crop-mark:4536:0:0:0.image)可以看到我们已经获取到了phpsession,这个时候我们就可以访问他的后台页面了,但是如果页面显示RELOGIN说明存在漏洞但是管理员现在不在线,所以需要等他在线" style=“margin: auto” />

访问后台页面:

http://x.x.x.x/general/

<img src="https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/bc3b5e8b82a0444f899af44474661e22~tplv-k3u1fbpfcp-zoom-in-crop-mark:4536:0:0:0.image)查看本地的绝对路" style=“margin: auto” />

<img src="https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/06fff5e1b68f4213ad769f6db9cb3362~tplv-k3u1fbpfcp-zoom-in-crop-mark:4536:0:0:0.image)新建一个附件目" style=“margin: auto” />

[<img src=“https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/4757686b0db345e89083d70f69057047~tplv-k3u1fbpfcp-zoom-in-crop-mark:4536:0:0:0.image)](https://link.juejin.cn/?target=https%3A%2F%2Fwww.oschina.net%2Faction%2FGoToLink%3Furl%3Dhttps%253A%252F%252Fwww.t00ls.net%252Fattachments%252Fmonth_2103%252F210310111840989d549b4191f3.jpg “https://www.oschina.net/action/GoToLink?url=https%3A%2F%2Fwww.t00ls.net%2Fattachments%2Fmonth_2103%2F210310111840989d549b4191f3.jpg”” style=“margin: auto” />

<img src="https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/42280953e6b940fc94de9ae0da1a66e9~tplv-k3u1fbpfcp-zoom-in-crop-mark:4536:0:0:0.image)这里需要注意:我们要添加一个路径为系统目录后面跟上webroot,但是webroot会被过滤,但是他没有检查大小写,所以我们改为Webroot就可以轻松绕过。添加图片目" style=“margin: auto” />

[<img src=“https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/a5ccf50724314cb0a67d586862d42a92~tplv-k3u1fbpfcp-zoom-in-crop-mark:4536:0:0:0.image)](https://link.juejin.cn/?target=https%3A%2F%2Fwww.oschina.net%2Faction%2FGoToLink%3Furl%3Dhttps%253A%252F%252Fwww.t00ls.net%252Fattachments%252Fmonth_2103%252F210310111807f6d6a34719df40.jpg “https://www.oschina.net/action/GoToLink?url=https%3A%2F%2Fwww.t00ls.net%2Fattachments%2Fmonth_2103%2F210310111807f6d6a34719df40.jpg”” style=“margin: auto” />

<img src="https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/4c3bbb4bc3a64ee9bb3aa428eb1bff68~tplv-k3u1fbpfcp-zoom-in-crop-mark:4536:0:0:0.image)这里唯一需要注意的是我们需要将发布范围里添加一个系统管理员,这样子才可以,路径的话呢还是webroot那个路径。上传木" style=“margin: auto” />

<img src="https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/439488be27e940b0abaf20ad02903c43~tplv-k3u1fbpfcp-zoom-in-crop-mark:4536:0:0:0.image)然后我们添加一个文件,也就是我们的shel" style=“margin: auto” />

<img src="https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/b57dab609b254415a6fe77607218c424~tplv-k3u1fbpfcp-zoom-in-crop-mark:4536:0:0:0.image)这里需要注意的是,我们需要将我们的木马改为jpg后缀的,要不路径无法查看。查看木马路" style=“margin: auto” />

[<img src=“https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/b01b4a79a7c94c1aa3beb9c35787c14f~tplv-k3u1fbpfcp-zoom-in-crop-mark:4536:0:0:0.image)](https://link.juejin.cn/?target=https%3A%2F%2Fwww.oschina.net%2Faction%2FGoToLink%3Furl%3Dhttps%253A%252F%252Fwww.t00ls.net%252Fattachments%252Fmonth_2103%252F210310111866d2c5a4896f0d6a.jpg “https://www.oschina.net/action/GoToLink?url=https%3A%2F%2Fwww.t00ls.net%2Fattachments%2Fmonth_2103%2F210310111866d2c5a4896f0d6a.jpg”” style=“margin: auto” />

<img src="https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/212dc5e44ee2428d964d48550734de5e~tplv-k3u1fbpfcp-zoom-in-crop-mark:4536:0:0:0.image)这个时候记住这个文件名称,这个路径是固定的就是file_folder/2013下面就是我们的木马。修改木马后缀回到我们之前的上传页面,然后点击编辑" style=“margin: auto” />

<img src="https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/838cde0a9e814a7f87ae9adebcfaa6e5~tplv-k3u1fbpfcp-zoom-in-crop-mark:4536:0:0:0.image)鼠标放到我们木马上面,然后点击重命名。我们会打开一个新的tab页面,我们使用火狐进行抓包:先随便改个名字,点击保存,然后会拦截到一个post封包。数据包格式大概是这个样子" style=“margin: auto” />

这个时候我们就需要修改ATTACHMENT_NAME_POSTFIX属性为php.(注意后面有个.)然后重放这个数据包,就可以看到修改成功。

拼接木马路径

<img src="https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/0c32d87ac6d9411e85ffcf08a7ade620~tplv-k3u1fbpfcp-zoom-in-crop-mark:4536:0:0:0.image)可以看到我们修改成功。然后找到之前的文件名,然后将我们上传的原始的文件名(2.jpg)改为(166.php),这个是根据你上传的路径以及改的名称来定的,然后路径的话呢还是file_folder/2013,我们就可以访问到我们的马子了" style=“margin: auto” />

一键GetShell脚本

脚本代码:

放一张例子截图:

<img src="https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/39bec83eddcf40c2b6ddc77fa5d4f4ae~tplv-k3u1fbpfcp-zoom-in-crop-mark:4536:0:0:0.image)附一个fofa语句" style=“margin: auto” />

app="TDXK-通达OA"

想学网安的朋友福利来了!!!

免费赠送价值11980安全学习资料包

## 最后
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。

干货主要有:

①1000+CTF历届题库(主流和经典的应该都有了)

②CTF技术文档(最全中文版)

③项目源码(四五十个有趣且经典的练手项目及源码)

④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

扫码领取

程序员负总裁
关注
  • 24
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
TongDa_Scan:通达OA在线用户登录poc
03-13
进攻简述 通达OA v11.7中存在某接口查询在线用户,当用户在线时会返回PHPSESSION实现可登录后台系统 影响版本 通达OA <v11.7 进攻利用 检测当前用户是否存在线 http://127.0.0.1/mobile/auth_mobi.php?isAvatar=1&uid=1&P_VER=0 不在线在线显示RELOGIN 在线 在线页面空白,但已拿到SESSION 设置Cookie可直接登录后台 http://127.0.0.1/general/index.php 工具利用 # 指定 URL python3 .\TongDa_Scan.py -u 127.0.0.1 # 指定 uid 进行扫描 python3 .\TongDa_Scan.py -u 127.0.0.1 -i 1 # 批量扫描,默认扫描UID为1 python3 .\TongDa_Scan.py -f .
通达OA v2017 action_upload.php 任意文件上传漏洞.md
09-07
通达OA漏洞合集
通达OA v2017 video_file.php 任意文件下载漏洞.md
09-07
通达OA漏洞合集
通达OA前台任意用户登录漏洞.md
09-07
通达OA漏洞合集
通达OA v11.6 insert SQL注入漏洞.md
09-07
通达OA漏洞合集
php findstr,通达OA v11.7 一键getshell脚本
weixin_30843121的博客
03-27 317
微信公众号:云剑侠心通达OA v11.7 在线用户登录漏洞复现(附带一键getshell脚本)在文章的顶部先说明,本文章所介绍的内容以及所附带脚本仅供学习,如果存在有牟利行为,个人负责!!!仅用于学习娱乐,切勿用于非法用途!请于下载后24小时内删除,使用者承担所有法律责任!一个类似于越权的漏洞,但是利用的方式确实比较特殊访问漏洞页面获取phpsessionhttp://x.x.x.x/mobil...
通达OA V11.6-删除认证文件getshell复现
thelostworld
08-21 392
相关漏洞简介:删除认证文件写入木马getshell 版本:tongdaV11.6 利用情况: 注意⚠️:此漏洞会删除认证的文件,然后上传shell,所以该漏洞是会破坏系统认证文件,如果成功利用后会删除程序中的php文件可能会导致程序功能无法使用。 漏洞复现过程 由于官方的版本更新至V11.7,V11.6版本不好找,找了一天多吧,找到了 看着是11.6,下载实际是11.7 环境搭建: OA安装过程: 默认设置就OK 安装完成:可以默认的配置 服务器配置: 配置完
通达OA11.6版本越权漏洞复现
LainWith的博客
08-21 1539
环境搭建安装OA访问网站使用exp脚本蚁剑拿shell 环境搭建 现在通达官网已经把版本升级到了11.7,所以下载11.6版本需要去第三方下载平台 安装OA 傻瓜式安装,配置界面如下。完成安装之后就可以暂时不用管它了 访问网站 界面如下: 使用exp脚本 脚本内容如下,核心思路就是删除网站里的一个名为auth.inc.php的文件,进而越权拿shell import requests #填写ip target="http://ip/" #一句话木马的密码是hahaha payload="&.
某知名OA命令执行方法探索(续)
C20220511的博客
08-24 859
熟悉通达的小伙伴都知道通达是属于集成安装环境,和一般的CMS不同,通达安装好之后是自带配置好的WEB服务器nginx,一般来说不存在环境问题导致的差异。通达在配置中默认配置了disable_functions选项,禁止了常见的命令执行函数,甚至就连phpinfo也是禁用的。为了测试方便,在后续的分析中都手动去除了phpinfo不能执行的限制。
通达OA v11.7 auth_mobi.php 在线用户登录漏洞
qq_36334672的博客
01-31 271
继续尝试访问:http://ip/mobile/auth_mobi.php?此时抓http://127.0.0.1/general/index.php 的包,把cookoie塞进去即可。接下来burp抓包。fofa:app=“通达OA通达OA v11.7。
通达OA系统11.2漏洞
qq_50854662的博客
12-02 4554
通达OA系统11.2版本为案例的Web渗透
`“use strict“`在JavaScript中是什么?它背后的原理是什么?
Jerry学长
05-27 1051
JavaScript的严格模式(strict mode)是ECMAScript 5引入的一项特性。如果你在脚本或函数的顶部声明 ,你就启用了严格模式: 当JavaScript引擎看到这个指令时,它将开始以一种特殊的模式解释代码。在这种模式下,当检测到某些可能导致潜在错误的编码实践时,会抛出错误。这就是严格模式背后的基本原理。考虑下面这个例子: 开发者可能因为强迫症而对齐数值字面量,但这样会无意中使变量 初始化为八进制字面量。在非严格模式下,这将被解释为值 (十进制)。然而,在严格模式下,这样的代码会抛出错
书籍学习|基于SprinBoot+vue的书籍学习平台(源码+数据库+文档)
JIngJaneIL的博客
05-28 1054
首先,论文一开始便是清楚的论述了平台的研究内容。其次,剖析平台需求分析,弄明白“做什么”,分析包括业务分析和业务流程的分析以及用例分析,更进一步明确平台的需求。然后在明白了平台的需求基础上需要进一步地设计平台,主要包罗软件架构模式、整体功能模块、数据库设计。本项目软件架构选择B/S模式和java技术,总体功能模块运用自顶向下的分层思想。再然后就是实现平台并进行代码编写实现功能。论文的最后章节总结一下自己完成本论文和开发本项目的心得和总结。通过书籍学习平台将会使书籍学习各个方面的工作效率带来实质性的提升。
Vue3实战笔记(52)—Vue 3封装持仓分析饼图
山花的博客
05-30 226
接上文,封装持仓分析饼图。封装好几个组件,用于后续开发。把忧愁煮成茶,让它在心间慢慢沉淀,剩下的,便是清甜的回味。
Vue3 - 实现一个雨水滴落的动画效果
良月柒
05-29 139
在 Vue 3 中实现一个雨水滴落的动画效果,可以使用 HTML5 的元素和 JavaScript 来绘制和控制动画。
React后台管理(十三)-- 页面常用hook封装 --- useTable封装
weixin_43883615的博客
05-29 296
紧接上一篇,本篇主要讲和表格相关的全局hook函数封装。结构分析:(1)这个 useTable 钩子的功能是用于管理表格的高度(2)接受一个可选的 params 对象作为参数,可以包含 id 和 offset 两个属性(3)定义getHeight函数,实时计算表格区域高度,控制滚动区域下一篇讲【示例页面构建教学】。关注本栏目,将实时更新。
KeyExpirationEventMessageListener监听器的使用
最新发布
qq_47910339的博客
05-31 376
KeyExpirationEventMessageListener监听器的使用
通达oa任意用户登录
09-05
通达OA是一款常见的办公自动化软件,它提供了多种功能以方便用户进行办公工作。对于通达OA的任意用户登录,我可以提供以下回答。 通达OA允许任意用户登录,这意味着所有拥有有效账号和密码的用户都可以登录系统并访问其功能。用户可以通过在登录界面输入正确的用户名和密码,然后点击登录按钮来完成登录操作。系统将对用户的输入进行验证,如果验证通过,用户将成功登录系统。 通达OA用户登录是安全可靠的。系统会对用户的密码进行加密处理,确保用户的密码不会被泄露。此外,通达OA还提供了多种登录策略,例如登录失败锁定、设置密码复杂度要求和定期更新密码等,以增加系统的安全性。用户可以根据需要选择适合自己的登录策略。 一旦用户成功登录通达OA,他们就可以根据自己的权限进行各种操作。通达OA提供了丰富的功能模块,包括请假申请、加班申请、文档管理、日程安排、内部邮件等,用户可以根据需要选择并使用这些功能模块来提高工作效率。 总之,通达OA允许任意用户登录,用户只需提供正确的账号和密码即可登录系统,并根据自己的权限使用各种功能模块。它是一款安全可靠的办公自动化软件,有助于提高办公效率和工作质量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值