最新通达OA漏洞利用工具

已于 2024-01-06 19:33:06 修改
阅读量1.4k 收藏 19
点赞数 16
分类专栏: 编程 程序员 渗透测试 文章标签: 安全 网络
于 2023-12-31 09:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leah126/article/details/135302247
版权
程序员 同时被 3 个专栏收录
653 篇文章 115 订阅
订阅专栏
渗透测试
591 篇文章 29 订阅
订阅专栏
编程
313 篇文章 0 订阅
订阅专栏

1

工具介绍

本工具webshell采用蚁剑连接,密码均为x

注意:通达OA v11.6前台任意文件删除+任意文件上传漏洞会删除auth.inc.php,这可能会损坏OA系统谨慎操作TongdaOATool。

2

支持检测漏洞

本工具支持以下漏洞的验证和利用:

3

更新记录

  1. 采用线程池修复卡顿问题

  2. 新增通达OA前台authmobi伪造在线用户登录漏洞(TongdaOA_Authmobi_Login)

  3. 新增通达OA登录认证绕过漏洞(TongdaOA_Bypass_Auth)

  4. 新增通达OA gataway前台任意文件上传漏洞

增加http、socks代理功能,方便抓包分析代码或内网环境下使用

采用线程池解决检测漏洞时卡顿问题

4

工具下载

点击关注下方名片****进入公众号

回复关键字【230918**】获取****下载链接**

5

往期精彩

[

攻防演习之三天拿下官网站群

](http://mp.weixin.qq.com/s?__biz=MzkwMzMwODg2Mw==&mid=2247500854&idx=1&sn=3f454e3a78c71b2aca2ed0a70f7411dd&chksm=c09ab766f7ed3e702675199eb4677dc2b59cae5af1eb355c15796f654c15cbf466f9a0fcf78b&scene=21#wechat_redirect)

[

高危漏洞利用工具Apt_t00ls-v0.7

](http://mp.weixin.qq.com/s?__biz=MzkwMzMwODg2Mw==&mid=2247500843&idx=1&sn=27ce408d7e052cf63c7005af75642d2e&chksm=c09ab77bf7ed3e6dcf6b7ba4bd28c97c97f404b997eaf6bcc3c28cd0977bd058e985d8c6c818&scene=21#wechat_redirect)

[

攻防演练中钓鱼全流程梳理

如果你也想学习:黑客&网络安全的SQL攻防

在这里领取:

这个是我花了几天几夜自整理的最新最全网安学习资料包免费共享给你们,其中包含以下东西:

1.学习路线&职业规划

在这里插入图片描述
在这里插入图片描述

2.全套体系课&入门到精通

在这里插入图片描述

3.黑客电子书&面试资料

在这里插入图片描述

leah126
关注
  • 16
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[ 漏洞复现篇 ] 通达 OA11.6 文件上传+RCE 漏洞复现
qq_51577576的博客
04-14 5009
一、漏洞编号 二、漏洞靶场 三、漏洞影响版本 四、FOFA Dork/Google Dork 五、利用漏洞风险 六、漏洞修复方案 七、漏洞利用过程
通达OA综合利用工具通达OA综合利用工具
03-29
# 工具说明 **通达OA综合利用工具_20200224** <br /> ## 集成POC如下 任意用户登录POC: 4个<br /> SQL注入POC: 2个<br /> 后台文件上传POC: 3个<br /> 本地文件包含POC: 2个<br /> 前台文件上传POC(非WEB目录): 1个<br /> 任意文件删除POC: 1个<br /> <br /> <br /> ## 工具面板截图 ![image.png](https://cdn.nlark.com/yuque/0/2021/png/516736/1614132955247-9f1b3b4d-9019-4665-8925-b36d4a6c141b.png) <br /> <br /> ## 工具利用流程 ### 1.优先利用本地文件包含漏洞 原因是本地文件包含漏洞, 配合前台文件上传可以直接getshell, 无需获取有效Cookie<br /><br /> ### 2.若本地文件包含漏洞利用失败, 其次利用任意用户登录漏洞与SQL注入漏洞 这两个漏洞的利用方式集成在了"获取Cookie"按钮上<br /
漏洞实例_通达OA远程命令执行漏洞分析_零基础黑客入门教程
最新发布
程序员六七的博客
06-26 1068
一、漏洞简介通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。
通达OA系统11.2漏洞
qq_50854662的博客
12-02 4881
通达OA系统11.2版本为案例的Web渗透
github工具OA综合利用python
千寻的博客
12-29 3018
oa工具
[ 攻防演练演示篇 ] 利用通达OA 文件上传漏洞上传webshell获取主机权限
qq_51577576的博客
03-06 2781
[ 攻防演练演示篇 ] 利用通达OA 文件上传漏洞上传webshell获取主机权限
【新】通达OA前台反序列化漏洞分析
C20220511的博客
08-07 2093
通达OA作为历史上出现漏洞较多的OA,在经过多轮的迭代之后已经很少前台的RCE漏洞了。对应12系列未做过多测试,本文提到的所有漏洞在最新版的通达12.4中已修复,使用此漏洞造成的任何攻击影响均与本文作者无关。在上面的方法中会对传入的Cookie值进行签名校验,校验的方法是validateData,其中$this->cookieValidationKey是签名的key。继续跟踪loadCookies方法,在这个方法中会调用unserialize方法对传入的Cookie的值进行反序列化。
通达OA header身份认证绕过漏洞利用工具
12-25
通达OA header身份认证绕过漏洞利用脚本,可以检测漏洞是否存在并生成可用的cookie
通达OA综合利用工具_圈子社区专版
03-25
通达OA综合利用工具_圈子社区专版
TDOA_RCE:通达OA综合利用工具
03-03
通达OA综合利用工具_20210224 集成POC如下 任意用户登录POC:4个SQL注入POC:2个后台文件上传POC:3个本地文件包含POC:2个前台文件上传POC(非WEB目录):1个任意文件删除POC:1个 工具面板截图 工具利用流程 1....
OA高危漏洞利用工具v1.2.0
08-02
截止到目前为止,已实现了用友、泛微、通达、致远、帆软报表、万户、蓝凌、红帆、华天动力总共9个OA。 全部是命令执行、文件上传类的漏洞,包括前台和后台,未编写log4j、fastjson相关漏洞。 2023/6/28 新增用友...
【漏洞复现-通达OA通达OA前台任意用户登录漏洞
xiaokp7的博客
06-18 2490
通达OA(Office Anywhere网络智能办公系统)是中国通达公司的一套协同办公自动化软件。通达OA < 11.5.200417存在一个认证绕过漏洞,利用该漏洞可以实现任意用户登录。攻击者可以通过构造恶意攻击代码,成功登录系统管理员账户,继而在系统后台上传恶意文件控制网站服务器。
漏洞复现-通达TongdaOA系列
aming小老弟
10-03 4265
通达OA 网络智能办公系统 是由北京通达信科科技有限公司开发的一款办公系统采用基于WEB的企业计算,主HTTP服务器采用了世界上最先进的Apache服务器,性能稳定可靠。数据存取集中控制,避免了数据泄漏的可能。提供数据备份工具,保护系统数据安全。多级的权限控制,完善的密码验证与登录验证机制更加强了系统安全性。自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台2015年,通达OA入驻阿里云企业应用专区,为众多中小企业提供稳定、可靠的云计算支撑。
通达OA v11.7 在线用户登录漏洞复现(附带一键getshell脚本)
qq_44005305的博客
02-11 1095
在文章的顶部先说明,本文章所介绍的内容以及所附带的脚本仅供学习,如果存在有牟利行为,个人负责!!!仅用于学习娱乐,切勿用于非法用途!请于下载后24小时内删除,使用者承担所有法律责任!一个类似于越权的漏洞,但是利用的方式确实比较特殊。
通达OA SQL注入漏洞【CVE-2023-4165】
holyxp的博客
08-10 2795
通达OA系统,即Offic Anywhere,又称为网络智能办公系统,是通达科技公司针对各行业办公与管理开发的办公应用系统。通达OA系统采用领先的B/S架构,采用基于WEB网络的开发方式,能够使得企业及个人办公不再受地域限制,实现信息化、自动化、移动化高效便捷办公。漏洞1(CVE-2023-4165)文件,对参数 DELETE_STR 的操作会导致 sql 注入。
【漏洞复现-通达OA通达OA auth_mobi.php在线用户登录漏洞
xiaokp7的博客
08-03 957
通达OA是由北京通达信科科技有限公司自主研发的协同办公自动化系统,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等。通达OA 中存在某接口查询在线用户,当用户在线时会返回 PHPSESSION使其可登录后台系统。
通达oa一键利用工具
01-01
通达OA一键利用工具是指利用软件工具通达OA系统进行快速攻击的工具。由于通达OA是一套较为流行的办公自动化系统,攻击者可以通过漏洞或弱密码等方式入侵通达OA系统,并获取敏感信息或进行其他恶意活动。 通达OA一键利用工具的特点如下: 1. 简便易用:一键利用工具通常具有用户友好的界面设计和操作流程,让攻击者可以快速上手使用,而不需要过多的技术背景或专业知识。 2. 快速攻击:一键利用工具采用了自动化的攻击方式,可以在短时间内完成对通达OA系统的攻击,大大缩短了攻击者获取敏感信息或控制服务器的时间。 3. 高成功率:通达OA一键利用工具通常会利用已知的漏洞或弱密码,这些漏洞的利用方式已经被攻击者验证过,成功率较高。 4. 多种攻击方式:一键利用工具通常会集成多种攻击方式和技术,如SQL注入、远程代码执行等,从而使攻击者可以根据实际情况选择合适的攻击方式。 对于通达OA一键利用工具的防范措施,可以从以下方面入手: 1. 及时更新:通达OA系统提供方应该及时修复漏洞,并发布安全补丁。同时,企业也应该关注官方通告,及时更新系统以保证安全。 2. 加强密码安全:使用复杂的密码,并周期性地更换密码,避免使用弱密码。 3. 安全审计:定期对通达OA系统进行安全审计,发现漏洞并及时修复。同时,建立安全日志记录和监控机制,及时发现异常行为。 4. 网络隔离:将通达OA系统与其他关键系统进行隔离,建立网络安全防线,减少攻击面。 综上所述,通达OA一键利用工具是一种对通达OA系统进行快速攻击的工具,对于防范此类工具的使用,企业和通达OA系统提供方应该加强安全措施,及时更新和修复漏洞,同时加强密码安全,进行安全审计和网络隔离等措施,以提高通达OA系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值