通达OA前台任意用户登录漏洞复现
漏洞描述
通达OA是一套使用比较广泛的办公系统。该漏洞因为使用uid作为身份标识,攻击者在远程且未经授权的情况下,通过利用此漏洞,可以直接绕过登录验证逻辑,伪装为系统管理员身份登录OA系统。通达OA官方于2020年4月17日发布安全更新。
漏洞影响版本
通达OA < 11.5
通达OA 2017版本
漏洞原理
本次复现为2017版本,则重点分析该版本,但原理都是基本相同的,只不过文件路径不同而已。根据POC的代码分析如下,该漏洞涉及的文件包含以下四个:
1 | /ispirit/login_code.php |
通达OA源码使用zend5加密 ,分析源码需要先进行解密
本事使用的解密工具是:SeayDzend,工具使用很简单
/ispirit/login_code.php:
该文件用来获取codeuid参数,如果不存在,则会自动生成一个codeuid,并且将其写入CODE_LOGIN_PC缓存中(通达OA使用了缓存系统Redis,同时也提供了对缓存的使用方法),但是在18行位置将这个参数显示出来,导致用户可以获取这个参数的值,从而可以绕过后面的验证。
/general/login_code_scan.php:
在这一文件中,用户可以控制输入的关键参数uid,在存在漏洞的通达OA版本中,后台数据库里uid对应的用户是admin管理员账户。并且将该数据存储在CODE_INFO_PC缓存中,因为我们在第一个文件中获取的codeuid存储在CODE_LOGIN_PC中,所以这里在复现时需要指明source变量为pc,这里的username则为admin,而type变量需要指明为confirm,原因在后面会进行解释。
/ispirit/login_code_check.php:
这里使用之前存储的两个缓存中的内容,一个用来获取codeuid,一个用来获取通过post传入的uid等关键信息,这里红框就是为什么前一步需要将type设置为confirm。
这里是最为关键的位置,代码获取用户可控的参数uid,并依次作为依据直接带入数据库进行查询
随后将查询的信息直接写入session中,通过这一步,session中包含的就是管理员的身份信息。
以上就是该漏洞的原理,V11版本原理类似,可用对照POC中的步骤进行分析复现。
漏洞复现
环境搭建
通达OA-TDOA11.4_2 建议在虚拟机环境下安装
1 | 下载地址:https://cdndown.tongda2000.com/oa/2019/TDOA11.4.exe |
下载下来一路默认下一步就行!
安装完成最后需要检测端口
最后点击确定就行
漏洞利用
code1:手工利用
按照poc中的步骤,首先抓首页的包进行更改,访问/ispirit/login_code.php
通过返回包获取codeuid
而后使用POST方式访问/general/login_code_scan.php提交payload,其中codeuid需要改为上一步中返回的值。
1 | uid=1&codeuid={3CD5FFC0-E64E-6E7E-123F-64A3578FF5A0}&type=confirm&source=pc&username=admin |
第三步使用GET方式访问/ispirit/login_code_check.php,带上参数codeuid,让后台进行代入查询,并返回携带管理员身份信息的凭证。
经过这步后客户端已经拥有了管理员的身份信息,直接访问OA主页/general/index.php,放行该数据包,成功以管理员身份登录OA系统。
code2:POC利用
python3 .\POC.py -v 2017 -url http://192.168.142.129/
访问主页http://192.168.142.129/general/index.php
修改cookie中PHPSESSID的值并刷新页面就会发现登录成功了
最后修改cookie也可以在bp里面修改
修复建议
更新最新版本
复现环境所需安装包以及工具
1 | 百度链接:https://pan.baidu.com/s/1BYpQZ8lqrHGJu1YohSxqQA?pwd=r8g3 |
