信呼OA系统安全分析与0day挖掘实战指南<\/h1>

1. 信呼OA系统概述<\/h2>

信呼OA(信呼办公自动化系统)是一款基于PHP+MySQL开发的开源协同办公系统，主要面向中小型企业、政府机构及组织，提供一体化的办公管理解决方案。<\/p>

系统特点<\/strong>：<\/p>

简洁易用<\/li>
功能全面<\/li>
高性价比<\/li>
支持二次开发<\/li>
适合多种办公场景需求<\/li> <\/ul>
环境搭建<\/strong>：<\/p>

官网下载最新版：http:\/\/www.rockoa.com\/<\/li>
使用小皮面板(或其他PHP环境)部署<\/li>
访问对应端口，按照安装教程创建数据库完成安装<\/li> <\/ol>
2. 代码审计基础<\/h2>
2.1 路由分析<\/h3>
入口文件index.php分析<\/strong>：<\/p>

引入配置文件和定义路由参数初始值<\/li>
两种路由模式处理<\/li>
检测是否安装和导入view文件(视图)<\/li> <\/ol>
View.php核心路由处理<\/strong>：<\/p>

路由参数获取<\/strong>：<\/p>

设置$ajaxbool<\/code>变量默认为false，有传参则覆盖<\/li>
$p = PROJECT<\/code>(值为webmain)<\/li>
设置默认模块、操作、数据参数，有get传参则覆盖<\/li>
处理多目录情况：$m<\/code>若有|<\/code>则分割为数组，分别赋值给$m<\/code>和$_m<\/code><\/li> <\/ul> <\/li>
路由规则和方法调用<\/strong>：<\/p> 构建文件路径：项目绝对路径\/webmain\/$d\/$_m<\/code><\/li> 考虑两种文件结构：多目录情况：$actpath = 项目绝对路径\/webmain\/$d\/$_m\/$mAction.php<\/code><\/li> 同模块名文件：$actfile1 = 项目绝对路径\/webmain\/$d\/$_m\/$_mAction.php<\/code><\/li> <\/ul> <\/li> 文件存在则包含，构建对应模块class并实例化<\/li> 鉴权在此处触发<\/li> 方法调用：$ajaxbool<\/code>为false调用$a+Action<\/code>方法，为true调用$a+Ajax<\/code>方法<\/li> <\/ul> <\/li> 模板文件调用<\/strong>：前端文件处理<\/p> <\/li> <\/ol> 路由构造示例<\/strong>：<\/p> 调用webmain\/main\/xinhu\/xinhuAction.php<\/code>中的setsaveAjax()<\/code>方法： index.php?d=main&m=xinhu&a=setsave&ajaxbool=true <\/code><\/pre> <\/li> 调用webmain\/task\/api\/agentAction.php<\/code>中的dataAction()<\/code>方法： index.php?d=task&m=agent|api&a=data <\/code><\/pre> <\/li> <\/ol> 2.2 传参分析<\/h3> 参数处理流程<\/strong>：<\/p> $rock->get()<\/code>方法封装在config\/config.php<\/code>中<\/li> get<\/code>方法参数：name<\/code>(必需), dev<\/code>(默认空), lx<\/code>(默认0)<\/li> <\/ol> get方法处理流程<\/strong>：<\/p> 解密部分：<\/p> 判断$lx<\/code>值(1,3,5)进行对应解密<\/li> 加密字符串结构：5部分用数字0分隔(如ab0cd0ef0gh01<\/code>)<\/li> 判断字符串开头是否为rockjm_<\/code>或basejm<\/code>决定解密方式<\/li> <\/ul> <\/li> 内容检测部分：<\/p> 过滤'<\/code>和%20<\/code>(防注入)<\/li> $lx=2<\/code>时进行字符替换<\/li> 遍历lvlaras<\/code>数组检测危险字符<\/li> 对特定参数名(m<\/code>,a<\/code>,p<\/code>等)进行XSS检测<\/li> <\/ul> <\/li> <\/ol> 绕过过滤的思路<\/strong>：<\/p> 硬刚过滤规则<\/li> 寻找不使用封装方法的传参点(如php:\/\/input<\/code>, $_cookie<\/code>)<\/li> 利用加密字符串绕过字符检测(关注参数解密处理点)<\/li> <\/ol> 2.3 鉴权分析<\/h3> 鉴权机制<\/strong>：<\/p> 代码架构采用类继承，顶级父类为mainAction<\/code><\/li> 关键鉴权方法在__construct()<\/code>魔术方法中<\/li> 实际鉴权代码在继承类Action<\/code>中<\/li> 触发流程：实例化→__construct()<\/code>→initProject()<\/code>→initAction()<\/code>→getlogin()<\/code>→logincheck()<\/code><\/li> <\/ol> 类方法重写机制<\/strong>：<\/p> PHP允许子类重写父类方法<\/li> 实例化时会优先检查当前类是否有initProject()<\/code>和initAction()<\/code>方法<\/li> 若无则向上查找父类实现<\/li> <\/ul> 未授权接口判断<\/strong>：<\/p> 检查实例化的class到父类Action<\/code>之间是否有重写initProject()<\/code>和initAction()<\/code>方法<\/li> 关注重写方法中是否包含鉴权代码<\/li> <\/ul> 3. 0day挖掘实战<\/h2> 3.1 SQL注入审计思路<\/h3> 传统方法局限<\/strong>：<\/p> 底层SQL查询方法封装在include\/class\/mysql.php<\/code><\/li> 多数查询直接拼接但传参处有过滤<\/li> <\/ul> 高效审计方法<\/strong>：<\/p> 关注参数接收后解密\/解码处理点<\/li> 检查解密后数据是否直接带入SQL查询<\/li> 寻找不使用封装过滤方法的传参点<\/li> <\/ol> 3.2 实战案例<\/h3> 案例1<\/strong>：<\/p> 文件：webmain\/flow\/input\/inputAction.php<\/code><\/li> 方法：getselectdataAjax()<\/code><\/li> 漏洞点：接收base64加密字符串绕过过滤，直接带入sqlstore<\/code>方法<\/li> POC： xinhu_city,id,admin|database() -- <\/code><\/pre> <\/li> <\/ul> 案例2<\/strong>：<\/p> 文件：webmain\/system\/table\/tableAction.php<\/code><\/li> 方法：savedbupurlAjax()<\/code><\/li> 漏洞点：接收base64加密字符串绕过过滤，带入setval<\/code>方法<\/li> POC： 123' where `num`='dbupurl' or if(1=1,sleep(0.01),0) -- 123 <\/code><\/pre> <\/li> <\/ul> 3.3 扩展挖掘方向<\/h3> 搜索其他使用base64_decode<\/code>处理的参数接收点<\/li> 检查不使用$rock->get()<\/code>的参数获取方式<\/li> 分析加密字符串生成机制，尝试构造有效加密payload<\/li> 关注类方法重写中的鉴权缺失情况<\/li> <\/ol> 4. 总结<\/h2> 信呼OA系统的安全审计需要特别关注：<\/p> 复杂路由机制下的入口点定位<\/li> 多层封装的参数过滤绕过<\/li> 类继承体系中的鉴权重写<\/li> 加密\/编码参数的处理流程<\/li> <\/ol> 通过系统性地分析路由、传参和鉴权机制，结合特定漏洞模式的快速定位，可以高效发现系统中的安全漏洞。<\/p>