奇安信攻防社区-TongdaOA v11.7 auth_mobi.php 在线用户登录漏洞

# TongdaOA v11.7 auth_mobi.php 在线用户登录漏洞 ## 漏洞描述 TongdaOA v11.7 中存在某接口查询在线用户，当用户在线时会返回 PHPSESSION使其可登录后台系统 ## 漏洞影响 TongdaO...

TongdaOA v11.7 auth\_mobi.php 在线用户登录漏洞
======================================

漏洞描述
----

TongdaOA v11.7 中存在某接口查询在线用户，当用户在线时会返回 PHPSESSION使其可登录后台系统

漏洞影响
----

TongdaOA &lt; v11.7

环境搭建
----

TongdaOA v11.7下载链接\]:<https://cdndown.tongda2000.com/oa/2019/TDOA11.7.exe>

漏洞复现
----

漏洞有关文件 `MYOA\webroot\mobile\auth_mobi.php`

```php
<?php

在执行的 SQL语句中

```sql
$sql = 'SELECT SID FROM user_online WHERE UID = \'' . $uid . '\' and CLIENT = \'' . $P_VER . '\'';
```

![img](https://shs3.b.qianxin.com/butian_public/f366413a49d776009e28faba0a0e618a0f78d02f896a4.jpg)

简单阅读PHP源码可以知道 此SQL语句会查询用户是否在线，如在线返回此用户 Session ID

![img](https://shs3.b.qianxin.com/butian_public/f796639ed59a44c4616fe7e769f959b7fbed79e4d1954.jpg)

将返回的 Set-Cookie 中的Cookie参数值使用于登录Cookie

访问目标后台 <http://xxx.xxx.xxx.xxx/general/>

![img](https://shs3.b.qianxin.com/butian_public/f7733101e57ac38918833cac4f3a359ff6d95510731ba.jpg)

当目标离线时则访问漏洞页面则会出现如下图

遍历uid也可以获取其他用户权限，可能权限较低

![img](https://shs3.b.qianxin.com/butian_public/f9943990944e5be0bf7207c652b02772a993903f3c363.jpg)

0 条评论