通达前台任意用户session伪造+后台getshell

最新推荐文章于 2024-08-13 10:07:01 发布
最新推荐文章于 2024-08-13 10:07:01 发布
阅读量1.3k 收藏 3
点赞数
分类专栏: 漏洞复现 文章标签: 安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43606134/article/details/108268622
版权

前言:通达OA是一套办公系统。2020年04月17日, 通达OA官方在更新了一个v11版本安全补丁, 其中修复了一个任意用户伪造登录漏洞。

该漏洞类型为任意用户伪造,未经授权的远程攻击者可以通过精心构造的请求包进行任意用户伪造登录,包括admin

漏洞影响版本:通达OA < 11.5.200417 版本

准备条件:
在这里插入图片描述
m_ing是此次利用的poc,目标的url直接写在url.txt中,vuln.txt是输出结果
在这里插入图片描述
运行脚本需要python3环境,python m_ing.py时会出现报错需要安装相应的模块,百度进行安装问题不大。
在这里插入图片描述
我们看到login可直接利用cookie进行登陆获取管理员权限
getshell可直接获取sheel
这里我们演示getshell,查看poc知道shell的密码为a。利用蚁剑连接
在这里插入图片描述
在这里插入图片描述
获得shell

分析:
在这里插入图片描述
在logincheck_code.php中UID可控,当UID为1时,用户默认为admin管理员
在这里插入图片描述
在其后180行左右将信息保存到SESSION中。那么只要绕过了18行的exit()就可以了。

$CODEUID = $_POST["CODEUID"];
$login_codeuid = TD::get_cache("CODE_LOGIN" . $CODEUID);
if (!isset($login_codeuid) || empty($login_codeuid)) {
	$databack = array("status" => 0, "msg" => _("参数错误!"), "url" => "general/index.php?isIE=0");
	echo json_encode(td_iconv($databack, MYOA_CHARSET, "utf-8"));
	exit();
}

login_codeuid 从redis缓存中TD::get_cache()获取"CODE_LOGIN" . $CODEUID,搜索下可不可控
在这里插入图片描述
跟进general\login_code.php

<?php

include_once "inc/utility_all.php";
include_once "inc/utility_cache.php";
include_once "inc/phpqrcode.php";
$codeuid = $_GET["codeuid"];
$login_codeuid = TD::get_cache("CODE_LOGIN" . $codeuid);
$tempArr = array();
$login_codeuid = (preg_match_all("/[^a-zA-Z0-9-{}\/]+/", $login_codeuid, $tempArr) ? "" : $login_codeuid);

if (empty($login_codeuid)) {
	$login_codeuid = getUniqid();
}

$databack = array("codeuid" => $login_codeuid, "source" => "web", "codetime" => time());
$dataStr = td_authcode(json_encode($databack), "ENCODE");
$dataStr = "LOGIN_CODE" . $dataStr;
$data = QRcode::text($dataStr, false, "L", 4);
$data = serialize($data);
if (($data != "") && ($data != NULL)) {
	if (unserialize($data)) {
		$matrixPointSize = 1.5;
		QRimage::png(unserialize($data), false, $matrixPointSize);
	}
	else {
		$im = imagecreatefromstring($data);

		if ($im !== false) {
			header("Content-Type: image/png");
			imagepng($im);
		}
	}
}

TD::set_cache("CODE_LOGIN" . $login_codeuid, $login_codeuid, 120);
$databacks = array("status" => 1, "code_uid" => $login_codeuid);
echo json_encode(td_iconv($databacks, MYOA_CHARSET, "utf-8"));
echo "\r\n\r\n\r\n";

?>

当$login_codeuid为空时会getUniqid()生成一个存入redis缓存并且在最后echo出来。所以我们可以通过直接get请求general\login_code.php拿到CODEUID
在这里插入图片描述
使用之前的CODEUID即可绕过if条件的exit()。

本文仅为了学习交流,严禁非法使用!!!

m__ing
关注
专栏目录
通达OA11.7漏洞 SSRF+Redis getshell
ShenZ的博客
07-21 925
通达OA11.7 SSRF+Redis getshell 1.如果得到管理员cookies就可以直接读取redis数据库配置文件 IP/general/approve_center/archive/getTableStruc.php 可以得到路径,以D:/MYOA为例 2.利用任意文件读取 IP/ispirit/im/photo.php?AVATAR_FILE=D:/MYOA/bin/redis.windows.conf&UID=2 这里uid是几好像不重要 读取到redis的ip、端口, 密码
通达OA前台任意用户伪造登录漏洞复现
m0_48520508的博客
07-14 1753
** 0x01简介 ** 北京通达信科科技有限公司是一支以管理软件研发、实施、服务与咨询为主营业务的高科技企业,隶属于世界500强企业中国兵器工业集团公司。 2019最值得购买的OA系统排名 通达OA采用基于WEB的企业计算,主HTTP服务器采用了世界上最先进的Apache服务器,性能稳定可靠。数据存取集中控制,避免了数据泄漏的可能。提供数据备份工具,保护系统数据安全。多级的权限控制,完善的密码验证与登录验证机制更加强了系统安全性。 ** 0x02漏洞介绍 ** 此次安全更新修复的高危漏洞为任意用户伪造
通达OA任意文件上传_文件包含GetShell1
08-03
下载 通达 V11 (https://pan.baidu.com/s/15gcdBuOFrN1F9xVN7Q7GSA) 密码 enqx使用 解密工具 (http
通达OA 11.2后台getshell漏洞复现
Adminxe的博客
09-23 946
0x00 漏洞描述 通达OA 11.2“组织”-》”管理员”-》附件上传处存在任意文件上传漏洞,结合“系统管理”-》”附件管理”-》”添加存储目录”,修改附件上传后保存的路径,最终导致getshell 0x01 漏洞影响版本 通达OA 11.2 0x02 漏洞复现 1、下载https://cdndown.tongda2000.com/oa/2019/TDOA11.2.exe,windows下直接点击安装,管理用户admin,密码为空 2、使用admin,密码为空登录,点击”系统管理”...
漏洞复现-通达OA v11.6 report_bi.func.php SQL注入
最新发布
玄道的网安博客
08-13 324
在自定义函数内首先查找了第一个单引号出现位置然后将出现位置的字符串长度给加到了pos这个变量内。Mysql里面有一个符号 @`` 可以将``内的字符串转换成变量所以最后poc就出来了。所以需要将我们需要注入的sql语句作为被替换的数据传入检测 然后再将语句前的单引号闭合。然后进入另外一个循环查找单引号和注释符直到没有查找到后跳出循环。总结查找传入sql查询里面的数据(即为单引号的内容)替换成\$s\$只要没有跳出循环 clean就继续拼接\$s\$然后。
伪造Session登陆后台
JavaFans && Boy With The Wind
08-17 4804
login.asp的验证代码      user_name=trim(request.form("uid"))      user_password=trim(request.form("pwd"))            user_password=jk_md5(user_password,"long")   if user_name="" or user_password="" then   
通达OA——前台任意用户伪造登录
xunhuanmao的博客
10-08 4298
通达OA是一套使用比较广泛的办公系统,文中所涉及到的利用方式仅供学习使用,切勿用于违法行为。
通达oa getshell分析
收集盒 Book box
04-20 1634
在general/vmeet/ 下的 privateUpload.php文件 我们看看代码 include_once( "inc/conn.php" ); //包含conn.php该文件 include_once( "inc/utility_file.php" );//包含utility_file.php这个文件 ob_end_clean( ); //清除缓冲区 $uploadFileNam
tongda_oa_rce:通达oa越权登录+文件上传getshell
03-20
通达OA越权登录+文件上传getshell 用法 点安装-r requirements.txt python tongda.py url.txt:测试url,支持批量 shell.txt:上传成功的webshel​​l cookie.txt:登录成功的cookie webshel​​l密码a 已测试...
通达OA前台任意用户登录漏洞.md
09-07
通达OA漏洞合集
通达OA 前台任意用户登录漏洞getshell
热门推荐
Summer's blog
05-13 1万+
前言    本次文章可以分为两部分,第一部分通达OA前台管理员伪造登录,第二部分后台附件getshell。作为一个笔记吧。 漏洞复现 管理员伪造登录 找到后台登录地址抓包修改url 删除cookie目的是返回管理员cookie 删除encode_type=1后面的值,替换成UID=1 后台getshell 找到附件管理,看看有没有附件保存地址。若没有,则添加个。 在会话页面找到自己,发...
通达oa精灵2017_通达OA三种文件包含GETSHELL漏洞复现
weixin_32098487的博客
01-25 1524
推文开头,先学习一下中华人民共和国网络安全法,大家要做一名合法的白帽子,不要做一些违法乱纪的事情。https://www.cto.ac.cn/thread-106.htm本推文仅用于信息防御技术教学,切勿用于其他用途,有侵权或者存在危害性,请联系我进行删除。今天是平安夜不会吧,不会吧这么晚还有人搞安全?不会吧,不会吧还没有人收到plmm的苹果?...今天复现通达OA的文件包含GETSHE...
通达OA V12版,引入thinkphp5.1框架,及获取session
牧羊老人
11-08 670
通达OA引入thinkphp5.1 thinkphp5.1获取通达OA的session htmlentities(): charset `cp936' not supported, assuming utf-8 session htmlentities
通达OA v11.7 在线用户登录漏洞附自写poc
yiiiing的博客
03-05 4482
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录一、漏洞描述二、漏洞影响三、漏洞复现四、漏洞利用POC五、总结 本文就介绍了通达OA v11.7 在线用户登录漏洞利用方法,及自己写得poc。 提示:以下是本篇文章正文内容,下面案例可供参考 一、漏洞描述 通达OA v11.7 中webroot\mobile\auth_mobi.php接口存在漏洞,无验证即可查询某个用户是否在线并返回PHPSESSION值使其可登录后台系统。 二、漏洞影响 通达OA < v11.7 三、漏
通达OA v11.7 在线用户登录漏洞复现(附带一键getshell脚本)
qq_44005305的博客
02-11 1114
在文章的顶部先说明,本文章所介绍的内容以及所附带的脚本仅供学习,如果存在有牟利行为,个人负责!!!仅用于学习娱乐,切勿用于非法用途!请于下载后24小时内删除,使用者承担所有法律责任!一个类似于越权的漏洞,但是利用的方式确实比较特殊。
通达V11.7auth_mobi.php任意用户登录漏洞复现
qq_44828901的博客
06-19 966
傻瓜式复现:通达V11.7auth_mobi.php任意用户登录
通达OA任意文件上传+文件包含GetShell
爱国小白帽
03-28 4381
通达OA任意文件上传+文件包含GetShell 原创 li9hu [Timeline Sec](javascript:void(0)???? 昨天 本公众号专注于最新漏洞复现,欢迎关注! ------------------------------------------------------------------------------------ 本文作者:li9hu(Timeline Sec复...
APP登录----伪sessionId设计登录
u010235716的博客
06-20 2780
我在以前的一篇博客中,瞎说了app和服务端sessionId传递的设计,也没有深入的理解; sessionId这玩意只会存在web服务,也就是B/S架构的体系; 以微信登录来看一个案例,伪sessionId设计登录状态设计; 先注册,再登录哈。这里只说登录;有了sessionId,方便以后的登录验证。 设计思路: 1.APP端传入服务端微信ID:wechatId
通达OA11.7任意用户登录
qq_51950323的博客
05-08 635
通达OA11.7任意用户登录,需要admin用户在线,即可利用该漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值