本文僅為了學習交流,嚴禁非法使用!!!
(隨筆僅為平時的學習記錄,若有錯誤請大佬指出)
1.分析一下存在漏洞檔案logincheck_code.php
從**中我們可以控制的有uid,codeuid然後判斷$login_codeuid是否存在,不存在或者為空就退出,然後將獲取的uid,帶入到sql語句進行查詢,後面會驗證查詢的結果,如果資訊核對正確,則將個人資訊放入到session中,uid=1的時候預設是管理員,而uid我們可以輸入乙個1,就可以滿足查詢ql,而我們現在要繞過if (!isset($login_codeuid) || empty($login_codeuid)),全域性搜尋一下$login_codeuid可不可以控制
2.分析一下/general/login_code.php,發現存在$login_codeuid
如果$login_codeuid為空,則給$login_codeuid賦乙個隨機值,並且使用echo列印出來
3.那我們的思路是:先去訪問/general/login_code.php,獲得$login_codeuid,再去訪問logincheck_code.php,同時post傳入獲取的$login_codeuid和uid=1,獲得返回包的phpsessid,在使用火狐瀏覽器偽造cookie,登入後台
4.漏洞復現
將獲得的code_uid儲存下來,進行下一步
將獲取的phpsessid儲存下來,使用火狐瀏覽器偽造cookie,同時訪問/general/index.php,便可以進入後台
5.後台getshell(靶機環境windows7 通道oa用的是myoa2017)
依次點選系統管理-附件管理-新增儲存目錄,選擇根目錄
6.依次點選組織-系統管理員-附件(下圖標註)
7.直接上傳shell.php不能成功,開啟抓包,上傳shell.php.進行繞過,windows系統會自動去掉.,不符合windows的命名
8.使用冰蠍進行連線
9.實戰(由以上的思路,進入到某站的oa後台管理系統)
10.修復建議
公升級通達 oa 到最新版
參考文章
此文件僅供學習,參與違法行為與筆者無關。
通達OA任意使用者登入
漏洞簡介 在 logincheck code.php 檔案,變數 uid 為攻擊者可控,攻擊者可改變 uid 引數,從而控制該 sql 語句返回 user 表中指定 uid引數的使用者資訊,便可通過偽造引數來達到登入任意使用者的目的。該漏洞可獲取任意使用者session,包括系統管理員 影響版本 通...
通達OA前台任意使用者登入分析
最近爆了個通達 oa 任意使用者登入漏洞,正好分析分析,順便師傅一起學習。首先我們找到檔案根目錄的檔案logincheck code.php,這個檔案是沒有許可權驗證的。我們會發現在 180 行附近有兩行 login uid uid login user id user id session log...
通達OA的前台任意使用者登入漏洞
提一下那個poc 通達 oa 任意使用者登入漏洞 首先我們找到檔案根目錄的檔案logincheck code.php,這個檔案是沒有許可權驗證的。我們會發現在 180 行附近有兩行 login uid uid login user id user id session login uid login...