04月17日, 通达OA官方在更新了一个v11版本安全补丁, 其中修复了一个任意用户伪造登录漏洞。未经授权的攻击者可以通过构造进行任意用户登录(包括admin),登录之后可进一步上传恶意文件控制网站服务器。通达OA是通达信科打造的协同办公平台,涵盖了工作流程、电子邮件、即时通讯、公告通知、新闻、日程安排、工作日志、知识管理,等近300个功能模块,国内用户众多。
补丁对比修改了如下文件:
跟进文件源码
代码第14行从redis里取标识id,判断是否存在,不存在则退出。
代码第28行存在严重逻辑错误,因为变量UID为攻击者可控,攻击者可赋值变量UID为1,从而控制该SQL语句返回的结果为USER表中UID为1的用户信息(默认UID为1的用户是管理员admin)。
代码第180行将查询到的用户信息进行相应的session赋值,因此攻击者只需要绕过代码第14行的redis验证,便可通过伪造UID的值来达到登录任意用户的目的。
跟进另一个文件
代码第12行随机生成了一串登录的标识id,并在第35行通过set_cache方法将该标识id插入到redis缓存中,最重要的是在第37行将该标识id进行了输出。
POC复现:
访问/general/index.php并抓包替换SESSIONID
POC:/NS-Sp4ce/TongDaOA-Fake-User
参考 https://mp./s/yJuLhC1GxkMbGL0mRORIoA
通达OA环境:链接: /s/10djDc9VyqNeMq11tqaSGMQ 提取码: 1a2x
