通达OA任意用户登录和后台GetShell漏洞复现

摘要:
本文仅供学习和交流之用。严禁非法使用!!!

本文仅为了学习交流,严禁非法使用!!!
(随笔仅为平时的学习记录,若有错误请大佬指出)

1.分析一下存在漏洞文件 logincheck_code.php

通达OA任意用户登录和后台GetShell漏洞复现第1张
通达OA任意用户登录和后台GetShell漏洞复现第2张
通达OA任意用户登录和后台GetShell漏洞复现第3张

从代码中我们可以控制的有UID,CODEUID然后判断$login_codeuid是否存在,不存在或者为空就退出,然后将获取的UID,带入到sql语句进行查询,后面会验证查询的结果,如果信息核对正确,则将个人信息放入到SESSION中,UID=1的时候默认是管理员,而UID我们可以输入一个1,就可以满足查询ql,而我们现在要绕过if (!isset($login_codeuid) || empty($login_codeuid)){exit();},全局搜索一下$login_codeuid可不可以控制

2.分析一下/general/login_code.php,发现存在$login_codeuid

通达OA任意用户登录和后台GetShell漏洞复现第4张
通达OA任意用户登录和后台GetShell漏洞复现第5张

如果$login_codeuid为空,则给$login_codeuid赋一个随机值,并且使用echo打印出来

3.那我们的思路是:先去访问/general/login_code.php,获得$login_codeuid,再去访问logincheck_code.php,同时POST传入获取的$login_codeuidUID=1,获得返回包的PHPSESSID,在使用火狐浏览器伪造COOKiE,登录后台

4.漏洞复现

通达OA任意用户登录和后台GetShell漏洞复现第6张

将获得的code_uid保存下来,进行下一步

通达OA任意用户登录和后台GetShell漏洞复现第7张

将获取的PHPSESSID保存下来,使用火狐浏览器伪造COOKIE,同时访问/general/index.php,便可以进入后台

通达OA任意用户登录和后台GetShell漏洞复现第8张

5.后台GetShell(靶机环境windows7 通道OA用的是MYOA2017)

依次点击系统管理-附件管理-添加存储目录,选择根目录
通达OA任意用户登录和后台GetShell漏洞复现第9张
通达OA任意用户登录和后台GetShell漏洞复现第10张

6.依次点击组织-系统管理员-附件(下图标注)

通达OA任意用户登录和后台GetShell漏洞复现第11张

7.直接上传shell.php不能成功,开启抓包,上传shell.php.进行绕过,windows系统会自动去掉.,不符合windows的命名

通达OA任意用户登录和后台GetShell漏洞复现第12张

8.使用冰蝎进行连接

通达OA任意用户登录和后台GetShell漏洞复现第13张

9.实战(由以上的思路,进入到某站的OA后台管理系统)

通达OA任意用户登录和后台GetShell漏洞复现第14张

10.修复建议
升级通达 OA 到最新版
参考文章
https://www.chabug.org/audit/1516.html
https://blog.csdn.net/sun1318578251/article/details/105728541/

此文档仅供学习,参与违法行为与笔者无关。

免责声明:文章转载自《通达OA任意用户登录和后台GetShell漏洞复现》仅用于学习参考。如对内容有疑问,请及时联系本站处理。

上篇Centos7下oracle配置(详细)虚拟机架设koolshare软路由下篇

宿迁高防,2C2G15M,22元/月;香港BGP,2C5G5M,25元/月 雨云优惠码:MjYwNzM=

相关文章

CORS漏洞的学习与分析

同源策略         同源策略(Same origin policy)是一种约定,一种非常重要的安全措施,也是最基本的安全功能,它禁止了来自不同源的脚本对当前页面的读取或修改,从而限制了跨域访问甚至修改资源,防止出现A页面可以随意更改B页面信息这样子的极其糟糕的情况发生。   同源策略做了怎样的限制呢?怎样才会被认为是跨域的,不同源的呢? 以http:...

漏洞分析之CVE-2018-0802

漏洞分析之 CVE-2017-0802 目录 漏洞分析之 CVE-2017-0802目录☛ 漏洞介绍☛ 漏洞分析☛ 1.漏洞分析环境与工具☛ 2.复现漏洞☛ 3.分析漏洞☛ 4.漏洞利用完成时间:2018-10-24 21:26:54 星期三 ☛ 漏洞介绍 在2017年11月14日,微软发布11月份安全补丁更新,其中更新了潜伏17年之久的Office...

Apache2目录遍历漏洞修复

话说,我一直没注意到自己服务器上的apache有目录遍历漏洞,直到我学了web中间件漏洞 这个漏洞存在三个月了,当时是建靶场,在apache默认目录下新建了目录才出现的漏洞 漏洞截图: Ubuntu下apache默认安装目录,将所有<Directory>标签下的indexes删除,这样一来,如果找不到目标文件,就不会泄露目录,而是返回报错信息...

文件上传漏洞(绕过姿势)

文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易,其中有很多技巧,也有很多需要掌握的知识。俗话说,知己知彼方能百战不殆,因此想要研究怎么防护漏洞,就要了解怎么去利用。此篇文章主要分三部分:总结一些常见的上传文件校验方式,以及绕过校验的各种姿势,最后对此漏洞提几点防护建议。(根据个人...

PHP代码审计笔记--CSRF漏洞

0x01 前言   CSRF(Cross-site request forgery)跨站请求伪造。攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件,发私信,添加管理用户,甚至于交易转账等。 这就利用了web中用户身份认证验证的一个漏洞:简单的身份验证仅仅能...

1day漏洞反推技巧实战(1)

    学习笔记里的存货(1)     以前看了一篇推特老外做赏金猎人的文章,感触有点深,作者没有写相关漏洞分析,只是说了自己挖了多少个漏洞,这里简单的分析下:     1day漏洞在很多时候至关重要,不管是在红蓝对抗,还是在赏金猎人生涯中,他占据着很大的地位,关于1day概念,这里不再过多描述.   开始我们快乐的全过程学习:     发现某个cms,他...