2020年04月17日, 通达OA官方在更新了一个v11版本安全补丁, 其中修复了一个任意用户伪造登录漏洞。未经授权的攻击者可以通过构造进行任意用户登录(包括admin),登录之后可进一步上传恶意文件控制网站服务器。通达OA是通达信科打造的协同办公平台,涵盖了工作流程、电子邮件、即时通讯、公告通知、新闻、日程安排、工作日志、知识管理,等近300个功能模块,国内用户众多。

补丁对比修改了如下文件:

跟进文件源码

代码第14行从redis里取标识id,判断是否存在,不存在则退出。
代码第28行存在严重逻辑错误,因为变量UID为攻击者可控,攻击者可赋值变量UID为1,从而控制该SQL语句返回的结果为USER表中UID为1的用户信息(默认UID为1的用户是管理员admin)。

代码第180行将查询到的用户信息进行相应的session赋值,因此攻击者只需要绕过代码第14行的redis验证,便可通过伪造UID的值来达到登录任意用户的目的。

跟进另一个文件

代码第12行随机生成了一串登录的标识id,并在第35行通过set_cache方法将该标识id插入到redis缓存中,最重要的是在第37行将该标识id进行了输出。

POC复现:

访问/general/index.php并抓包替换SESSIONID

POC:https://github.com/NS-Sp4ce/TongDaOA-Fake-User
参考 https://mp.weixin.qq.com/s/yJuLhC1GxkMbGL0mRORIoA
通达OA环境:链接: https://pan.baidu.com/s/10djDc9VyqNeMq11tqaSGMQ 提取码: 1a2x

通达OA任意用户伪造登录漏洞分析与复现相关推荐

  1. 通达OA前台任意用户伪造登录漏洞复现

    0x01简介 北京通达信科科技有限公司是一支以管理软件研发.实施.服务与咨询为主营业务的高科技企业,隶属于世界500强企业中国兵器工业集团公司. 2019最值得购买的OA系统排名 通达OA采用基于WE ...

  2. 通达OA 任意用户登录漏洞复现

    0x00 漏洞描述 该漏洞类型为任意用户伪造,未经授权的远程攻击者可以通过精心构造的请求包进行任意用户伪造登录. 0x01 影响版本 通达OA < 11.5.200417 版本 通达OA 201 ...

  3. 通达OA任意用户登录漏洞复现

    目录 通达OA任意用户登录漏洞 漏洞描述 影响范围 漏洞复现 通达OA任意用户登录漏洞

  4. 通达OA任意用户登录

    正值HW期间,一些企业公司办公系统可能使用通达OA,可以利用此漏洞. 漏洞详情 该漏洞类型为任意用户伪造,未经授权的远程攻击者可以通过精心构造的请求包进行任意用户伪造登录. 影响版本 通达OA 11. ...

  5. 通达OA任意用户登录复现(最新)

    通达OA任意用户登录复现 0x00 漏洞简介 0x01 影响版本 0x02 环境搭建 0x03 漏洞复现 0x04 修复建议 0x00 漏洞简介 通达OA国内常用的办公系统,使用群体,大小公司都可以, ...

  6. 通达OA任意用户登录复现

    1.访问默认管理员后台地址 用户未登录, 弹出如下界面,猜测有通达OA任意用户登录漏洞 2.访问文件https://oaweb.hait.edu.cn//ispirit/login_code.php以 ...

  7. php 伪造登入,某系统任意用户伪造登录

    学了一段时间漏洞复现,也有点手痒了,所以就有了这篇文章. 0x01 漏洞简介 该漏洞是由于在验证用户是否登录的时候采用了jwt-token验证的形式,又加上服务端生成jwt-token的时候使用了密钥 ...

  8. php forms 上传更新json_通达OA任意文件上传漏洞详细分析

    影响 影响范围(但是只有V11版和2017版有包含文件的php,其余版本能上传文件.): V11版 2017版 2016版 2015版 2013增强版 2013版. 这个漏洞是几个月前的漏洞,主要是学 ...

  9. 通达OA任意文件上传/文件包含RCE漏洞分析

    通达OA任意文件上传/文件包含RCE漏洞分析 0x01 前提 0x01 漏洞介绍 0x02 漏洞分析 首先下载安装 绕过身份验证文件上传部分 变量传递问题 文件包含部分 0x01 前提 关于这个漏洞的 ...

最新文章

  1. 2019年,智慧零售是如何影响零售行业?
  2. android响铃停止源代码,android – 如何停止当前正在播放的铃声?
  3. 如何获取Oracle数据库中某表及索引、约束、触发器、对象权限的创
  4. Maven项目SSM整合中mysql8.0.11对应Druid版本问题以及pom.xml写法
  5. 统计学习:协方差和相关性
  6. 干货,师兄倾力推荐的14个实验心得
  7. GIT和GitHub的使用总结
  8. php mysql odbc_javascript连接mysql与php通过odbc连接任意数据库的实例
  9. java 处理时间的类_详解JAVA 时间处理相关类
  10. 《FLUENT 14流场分析自学手册》——2.3 FLUENT14.5软件包的安装以及运行
  11. 一维码和二维码相关知识
  12. matlab7.0官方下载64位win10,window10下MATLAB 7.0下载及安装
  13. 毕业设计-基于机器视觉的车型识别系统
  14. CHAP7 软件项目进度计划
  15. QLU ACM2018新生赛
  16. C语言程序设计习题参考答案
  17. JAVA毕业设计web唐院寻人表白系统计算机源码+lw文档+系统+调试部署+数据库
  18. 百度CEO李彦宏的创业之路
  19. antdvue上传组件onChange状态值为uploading的问题
  20. 20万、50万、100万年薪的算法工程师能力上有哪些差距?

热门文章

  1. 【论文笔记】基于GAN的三维医学图像跨模态配准模型 Deform-GAN
  2. ios375对应Android,iOS开发之尺寸(一):各种机型尺寸
  3. SQL Server 是什么?
  4. cyclone v 调试DDR3L时出现SEQ.C: CALIBRATION FAILED
  5. 字体编辑器BMFont
  6. 生成式人工智能所面临的问题有哪些?
  7. 赵雅智_service电话监听2加接通电话录音
  8. QEMU如何虚拟PCI设备
  9. Oracle删除非空表空间
  10. gow上里还有gfind