项目地址

https://github.com/LEOGGMAGIC/TongDaOA-EXP

通达OA系列检测EXP

通达OA V11全版本漏洞检测

检测模块集成在Plugins文件夹内

稍微改了一下这位大佬的exphttps://github.com/kitezzzGrim/tongda-exp

代码写的有点💩，有新的检测模块和意见欢迎交流学习~

使用方法（python3）

python TongDaOA.py

根据提示输入URL地址：http://xxx.xxx.xxx.xxx:xxxx/，注意URL最后带上/

一键检测，测试案例如下（通达V11.6）

获取版本信息

检测inc/expired.php是否存在版本信息泄露

空口令登录

使用空口令尝试登陆

通达<11.3任意文件包含漏洞

检测是否存在文件包含漏洞

如果存在尝试读取general/../../mysql5/my.ini

通达<11.3文件上传+文件包含getshell

先检测是否存在文件包含漏洞，如果存在直接上🐎

存在漏洞会在这个目录生成冰蝎马ispirit/interface/sh3ll.php

密码rebeyond

通达<V11.4任意用户cookie获取漏洞

控制UID=1来获取admin的cookie

看网上文章说11.5也有，我本地测试11.5无法利用这个漏洞，有了解过的同学欢迎交流~

通达V11.5后台SQL注入漏洞

需要一个普通账户的用户名/密码

GET方法测试general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2

测试id是否存在注入

输入用户名/密码，如果存在漏洞，把请求包放入sqlmap跑

通达V11.6任意文件删除漏洞getshell

删除auth.inc.php认证文件，有风险请在授权状态下使用（任意删除文件只在11.6有）

上传哥斯拉shell，密码为pass

通达<V11.7任意在线用户登录漏洞

需要用户在线，检测RELOGIN

通达V11.7后台SQL注入&新增数据库用户写webshell

此漏洞需要一个普通账户的用户名/密码

会向数据中新增账户并提权abc123:abc123@abc123

以下是获取数据库权限后的操作，举个例子：

# 通过数据库写webshell方法有很多:
# select @@basedir可以查询绝对路径：C:\TDOA11.7\mysql5\
# 那通达OA的web目录就是C:/TDOA11.7/webroot
# select @@basedir
# set global general_log='on';
# SET global general_log_file='c:/TDOA11.7/webroot/aaa.php';
# SELECT '一句话木马';

通达<V11.8上传.user.ini文件包含漏洞getshell

需填入cookie，输入PHPSESSID=XXXX

存在漏洞会在这个目录上传哥斯拉马general/reportshop/workshop/report/attachment-remark/form.inc.php

密码pass

通达<V11.9 后台SQL时间盲注漏洞

此漏洞需要cookie，请先运行TongDaOA.py通过其他漏洞获取cookie（需要管理员权限）

测试有漏洞后放到sqlmap跑