漏洞簡介:
在 logincheck_code.php 檔案,變數 uid 為攻擊者可控,攻擊者可改變 uid 引數,從而控制該 sql 語句返回 user 表中指定 uid引數的使用者資訊,便可通過偽造引數來達到登入任意使用者的目的。
該漏洞可獲取任意使用者session,包括系統管理員
影響版本:
通達oa2017
11.x<11.5版本
管理員手冊/安裝及解除安裝.html
漏洞poc:
通達oa環境: 提取碼:ousi
漏洞工具:
使用方法:python3 poc.py -v (2017|11) -url url
2.訪問http:192.168.159.139/general/login_code.php,並使用burp抓包獲取code_uid。
3.再訪問 將get包轉換成post包。
4.改為post包後,將cookie全部刪除。(如果沒有就不用這一步。)
5.將獲取的codeuid複製過來,格式如下圖所示。提交 code_uid 引數進行偽造 ,獲取 phpsessid。
6.最後訪問登入後的頁面:
7.替換phpsessid引數即可登入成功。
拓展:
1.使用工具獲取phpsessid引數。
python3 poc.py -v 2017 -url3.將cookie替換為工具獲取到的phpsessid引數,取消攔截。
4.登入成功。
通達OA前台任意使用者登入分析
最近爆了個通達 oa 任意使用者登入漏洞,正好分析分析,順便師傅一起學習。首先我們找到檔案根目錄的檔案logincheck code.php,這個檔案是沒有許可權驗證的。我們會發現在 180 行附近有兩行 login uid uid login user id user id session log...
通達OA的前台任意使用者登入漏洞
提一下那個poc 通達 oa 任意使用者登入漏洞 首先我們找到檔案根目錄的檔案logincheck code.php,這個檔案是沒有許可權驗證的。我們會發現在 180 行附近有兩行 login uid uid login user id user id session login uid login...
通達OA任意使用者登入和後台GetShell漏洞復現
本文僅為了學習交流,嚴禁非法使用!隨筆僅為平時的學習記錄,若有錯誤請大佬指出 1.分析一下存在漏洞檔案logincheck code.php 從 中我們可以控制的有uid,codeuid然後判斷 login codeuid是否存在,不存在或者為空就退出,然後將獲取的uid,帶入到sql語句進行查詢,...