通达OA前台任意用户伪造登录分析

Share on:

通达OA又爆洞了

环境

通达OA历史版本下载:https://cdndown.tongda2000.com/oa/2019/TDOA11.4.exe

解密工具:https://pan.baidu.com/s/1c14V6pi

复现

image.png

image.png

拿到UID为1及管理员的SESSION直接登陆 image.png

分析

image.png 在logincheck_code.php中UID可控,当UID为1时,用户默认为admin管理员。 image.png 在其后180行左右将信息保存到SESSION中。那么只要绕过了18行的exit()就可以了。

1$CODEUID = $_POST["CODEUID"];
2$login_codeuid = TD::get_cache("CODE_LOGIN" . $CODEUID);
3if (!isset($login_codeuid) || empty($login_codeuid)) {
4	$databack = array("status" => 0, "msg" => _("参数错误!"), "url" => "general/index.php?isIE=0");
5	echo json_encode(td_iconv($databack, MYOA_CHARSET, "utf-8"));
6	exit();
7}

login_codeuid 从redis缓存中TD::get_cache()获取"CODE_LOGIN" . $CODEUID,搜索下可不可控 image.png

跟进general\login_code.php

 1<?php
 2
 3include_once "inc/utility_all.php";
 4include_once "inc/utility_cache.php";
 5include_once "inc/phpqrcode.php";
 6$codeuid = $_GET["codeuid"];
 7$login_codeuid = TD::get_cache("CODE_LOGIN" . $codeuid);
 8$tempArr = array();
 9$login_codeuid = (preg_match_all("/[^a-zA-Z0-9-{}\/]+/", $login_codeuid, $tempArr) ? "" : $login_codeuid);
10
11if (empty($login_codeuid)) {
12	$login_codeuid = getUniqid();
13}
14
15$databack = array("codeuid" => $login_codeuid, "source" => "web", "codetime" => time());
16$dataStr = td_authcode(json_encode($databack), "ENCODE");
17$dataStr = "LOGIN_CODE" . $dataStr;
18$data = QRcode::text($dataStr, false, "L", 4);
19$data = serialize($data);
20if (($data != "") && ($data != NULL)) {
21	if (unserialize($data)) {
22		$matrixPointSize = 1.5;
23		QRimage::png(unserialize($data), false, $matrixPointSize);
24	}
25	else {
26		$im = imagecreatefromstring($data);
27
28		if ($im !== false) {
29			header("Content-Type: image/png");
30			imagepng($im);
31		}
32	}
33}
34
35TD::set_cache("CODE_LOGIN" . $login_codeuid, $login_codeuid, 120);
36$databacks = array("status" => 1, "code_uid" => $login_codeuid);
37echo json_encode(td_iconv($databacks, MYOA_CHARSET, "utf-8"));
38echo "\r\n\r\n\r\n";
39
40?>

$login_codeuid为空时会getUniqid()生成一个存入redis缓存并且在最后echo出来。所以我们可以通过直接get请求general\login_code.php拿到CODEUID image.png 使用之前的CODEUID即可绕过if条件的exit()。

总结

很蠢的错误。通达真的不考虑抛弃全局变量覆盖吗?

拓展下的话,尝试寻找下通过get_cache()获取的变量影响到sql语句什么的。另外不同版本可能有一些不一样,比如11.3根本没走redis验证- -。

文笔垃圾,措辞轻浮,内容浅显,操作生疏。不足之处欢迎大师傅们指点和纠正,感激不尽。