通达OA前台任意用户登录漏洞复现
一. 漏洞概述:
通达OA是一套国内常用的办公系统,其此次安全更新修复的高危漏洞为任意用户登录漏洞。攻击者在远程且未经授权的情况下,通过利用此漏洞,可以直接以任意用户身份登录到系统(包括系统管理员)。
二. 影响版本:
通达OA 2017版,通达OA V11.X<V11.5
三. 漏洞复现:
FOFA语法搜索:通达OA
随意找一个网站
1.使用POC获取SESSIONID
2.使用火狐浏览器,F12修改cookie
`这是原有cookie`
` 修改过的cookie`
3.访问/general/index.php
四.访问成功
POC下载地址:https://github.com/NS-Sp4ce/TongDaOA-Fake-User
现在还有很多未修复,大家加油
我知道打码有不严的地方,大家不要乱搞,谢谢
如果觉得有用点个赞呗
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| 奖励系统 | 100.00 | 0 | 2020-04-26 21:09:31 | 投稿满 10 赞奖励 |
| 奖励系统 | 50.00 | 0 | 2020-04-26 15:03:04 | 投稿满 5 赞奖励 |
| admin | 50.00 | 0 | 2020-04-26 13:01:08 | 排版值得大家学习!就是总结和分析内容还可以更多! |
打赏我,让我更有动力~
LoginCan Publish Content
返回:技术文章投稿区
实战纪实
kidll
发表于 2020-4-28
不做伸手党 谢谢大佬分享
评论列表
加载数据中...
佳jia
发表于 2020-5-18
大佬我想问问
是下载这个吗,但是怎么用呢?
评论列表
加载数据中...