通達OA任意用戶登錄漏洞

通達OA任意用戶偽造登錄

0x00 漏洞介紹

　　通達OA一套辦公系統2020.4.17官方公布修復了一個任意用戶偽造cookie登錄漏洞，用戶 可偽造cookie以管理員身份登錄。

0x01 影響版本

　　通達OA2017

　　V11.X<V11.5

0x02 漏洞分析

　　在logincheck_code.php中，uid參數會直接通過post參數傳達，在通達oa中uid=1就是管理員身份；

　　

 

 

　　而且在傳參過程需要code_login參數，在/general/login_code.php中可以找到code_login參數；

 　　

 

 

 

　　在Logincheck_code.php中uid參數被以session形式保存，這樣就構成了我們偽造管理員身份的條件

 

　　

 

 

 

 0x03 漏洞復現

　　下載通達OA，直接訪問本地：

　　

 

 

 

 POC復現

　　

 

 

 

 　　運行poc文件獲取管理員cookie，瀏覽器修改cookie刷新訪問：

　　

 

 

 

 　　登錄成功；

手工復現

　　抓包刪除cookie，在post提交出添加uid=1，獲取管理員session

 　　

 

 

 

 　　

 

 

 

 　　瀏覽器修改cookie成功登錄。

0x04 修復建議

　　更新官方發布補丁。