通达OA管理员登录绕过+后台附件上传绕过getshell组合拳(附poc)

账号审核
1

作为一个挖洞新人,久闻90sec大名,十分渴望在论坛里和各位师傅共同进步。第一次投稿,写得不好的地方还希望各位师傅批评指正。
使用脚本得到伪造管理员cookie:
python POC.py -v 11 -url http://xxx.xxx:xx

1
11704×115 150 KB

得到cookie,访问http://xxx.xxx:xx/general/index.php?isIE=0&modify_pwd=0
用Edit This Cookie修改cookie:
2
21244×1029 115 KB

可成功登录后台:
3
31638×1012 210 KB

在系统参数设置处,找到web物理路径
4
4847×1237 76.9 KB

5
51569×1057 120 KB

在附件管理处,设置附件保存路径:
6
6849×1204 76.4 KB

7
7940×376 16.7 KB

在组织处向系统管理员发送附件:
8
82145×1267 451 KB

抓包修改附件名,利用windows特性,在后加.绕过前端检测:
9
92153×967 201 KB

构造payload存放路径:
http://xxx.xx:xx/im/2009/1172270141.ma.php
使用密码pass连接:
10
101623×1087 85.9 KB

成功getshell:
11
111237×234 10.4 KB

poc下载:

POC.zip (2.1 KB)

1 个赞
3

所有版本都可以绕过吗? 另外大佬是搭建的靶机吗? 方便分享份安装程序不?

4

不是大佬就一个萌新,影响版本:通达OA < 11.5.200417 版本,这个是实战不是靶机,没有安装程序不好意思。。。

5

我这有一个TDOA11.3的安装程序,链接: https://pan.baidu.com/s/1wsjbs8VJsOk0ch--oueE8w 密码: 9uie
--来自百度网盘超级会员V8的分享

2 个赞
6

兄弟可以复现吗

7

POC是自己写的吗?应该多写下分析过程,比如为什么cookie可以被伪造,原理是什么。