通达OA任意用户登录漏洞
通达OA任意用户伪造登录
0x00 漏洞介绍
通达OA一套办公系统2020.4.17官方公布修复了一个任意用户伪造cookie登录漏洞,用户 可伪造cookie以管理员身份登录。
0x01 影响版本
通达OA2017
V11.X<V11.5
0x02 漏洞分析
在logincheck_code.php中,uid参数会直接通过post参数传达,在通达oa中uid=1就是管理员身份;
而且在传参过程需要code_login参数,在/general/login_code.php中可以找到code_login参数;
在Logincheck_code.php中uid参数被以session形式保存,这样就构成了我们伪造管理员身份的条件
0x03 漏洞复现
下载通达OA,直接访问本地:
POC复现
运行poc文件获取管理员cookie,浏览器修改cookie刷新访问:
登录成功;
手工复现
抓包删除cookie,在post提交出添加uid=1,获取管理员session
浏览器修改cookie成功登录。
0x04 修复建议
更新官方发布补丁。