通达OA任意用户伪造登录漏洞分析与复现

2020年04月17日, 通达OA官方在更新了一个v11版本安全补丁, 其中修复了一个任意用户伪造登录漏洞。未经授权的攻击者可以通过构造进行任意用户登录（包括admin），登录之后可进一步上传恶意文件控制网站服务器。通达OA是通达信科打造的协同办公平台，涵盖了工作流程、电子邮件、即时通讯、公告通知、新闻、日程安排、工作日志、知识管理，等近300个功能模块，国内用户众多。

补丁对比修改了如下文件：

跟进文件源码

代码第14行从redis里取标识id，判断是否存在，不存在则退出。
代码第28行存在严重逻辑错误，因为变量UID为攻击者可控，攻击者可赋值变量UID为1，从而控制该SQL语句返回的结果为USER表中UID为1的用户信息（默认UID为1的用户是管理员admin）。

代码第180行将查询到的用户信息进行相应的session赋值，因此攻击者只需要绕过代码第14行的redis验证，便可通过伪造UID的值来达到登录任意用户的目的。

跟进另一个文件

代码第12行随机生成了一串登录的标识id，并在第35行通过set_cache方法将该标识id插入到redis缓存中，最重要的是在第37行将该标识id进行了输出。

POC复现：

访问/general/index.php并抓包替换SESSIONID

POC：https://github.com/NS-Sp4ce/TongDaOA-Fake-User
参考 https://mp.weixin.qq.com/s/yJuLhC1GxkMbGL0mRORIoA
通达OA环境：链接: https://pan.baidu.com/s/10djDc9VyqNeMq11tqaSGMQ 提取码: 1a2x