通达OA前台任意用户登录漏洞复现

guidie   ·   发表于 5个月前   ·   实战纪实

一. 漏洞概述:

通达OA是一套国内常用的办公系统,其此次安全更新修复的高危漏洞为任意用户登录漏洞。攻击者在远程且未经授权的情况下,通过利用此漏洞,可以直接以任意用户身份登录到系统(包括系统管理员)。

二. 影响版本:

通达OA 2017版,通达OA V11.X<V11.5

三. 漏洞复现:

FOFA语法搜索:通达OA

随意找一个网站

1.使用POC获取SESSIONID

 `这是原有cookie`

 ` 修改过的cookie`

3.访问/general/index.php

四.访问成功

POC下载地址:https://github.com/NS-Sp4ce/TongDaOA-Fake-User
现在还有很多未修复,大家加油
我知道打码有不严的地方,大家不要乱搞,谢谢
如果觉得有用点个赞呗

用户名金币积分时间理由
奖励系统 100.00 0 2020-04-26 21:09:31 投稿满 10 赞奖励
奖励系统 50.00 0 2020-04-26 15:03:04 投稿满 5 赞奖励
admin 50.00 0 2020-04-26 13:01:08 排版值得大家学习!就是总结和分析内容还可以更多!

打赏我,让我更有动力~

2 Reply   |  Until 4个月前 | 536 View

kidll
发表于 5个月前

不做伸手党 谢谢大佬分享

评论列表

  • 加载数据中...

编写评论内容

佳jia
发表于 4个月前

大佬我想问问
是下载这个吗,但是怎么用呢?

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部

掌控者 © 2016. All Rights Reserved. 掌控者

Powered by 掌控者 Version 2.1.3