通达OA检测工具-TongdaOATools

原创 已于 2023-09-19 10:55:20 修改 · 1.2k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#WEB安全 #OA漏洞 #通达 #OA

于 2023-08-15 16:59:48 首次发布
文章详细列举了通达OA系统多个版本中存在的漏洞,包括任意用户登录、文件上传和文件包含漏洞,以及如何利用这些漏洞获取shell。主要涉及2016年至2017年V11.x版本。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

通达OAEXP合集大礼包

项目地址
https://github.com/xiaokp7/TongdaOATools
在这里插入图片描述
TongdaOATools本工具支持以下漏洞的验证和利用:

	1、通达OA任意用户登录漏洞(TongdaOA_AnyUser_Login)
		影响版本:2017-V11.4
	2、通达OA后台im任意文件上传漏洞(Tongda_Im_Upload_Getshell)
		影响版本:2017-V11.4
	3、通达OA后台ispirit任意文件上传漏洞(Tongda_Ispirit_Upload_Getshell)
		影响版本:2017-V11.3
	4、通达OA后台module任意文件上传漏洞(Tongda_Module_Upload_Getshell)
		影响版本:2017-V11.4
	5、通达OA前台action任意文件上传漏洞(Tongda_Action_Upload_Getshell)
		影响版本:2016-V11.6
	6、通达OA前台ispirit文件包含漏洞(Tongda_Ispirit_FileInclude_Getshell)
		影响版本:v11-v11.3
	7、通达OA后台attachment_remark文件包含漏洞(TongdaOA_Attachment_remark_FileInclude)
		影响版本:2017-V11.4
	8、通达OA后台management任意文件上传漏洞(Tongda_Management_Upload_Getshell)
		影响版本:2017-V11.4
	9、通达OA v11.6前台任意文件删除+任意文件上传漏洞(Tongda_Delete_Auth_Getshell)
		影响版本:v11.6
	10、通达OA v11.8前台任意文件上传漏洞(Tongda_Api_Ali_Upload_Getshell)
		影响版本:v11.8

在这里插入图片描述

通达OA SQL注入漏洞【CVE-2023-4165
holyxp的博客
08-10 3564
通达OA系统,即Offic Anywhere,又称为网络智能办公系统,是通达科技公司针对各行业办公与管理开发的办公应用系统。通达OA系统采用领先的B/S架构,采用基于WEB网络的开发方式,能够使得企业及个人办公不再受地域限制,实现信息化、自动化、移动化高效便捷办公。漏洞1(CVE-2023-4165)文件,对参数 DELETE_STR 的操作会导致 sql 注入。
Kali Linux 2024.4 系统魔改版 3.0 + 常见62个渗透工具
最新发布
baimao__Ch的博客
02-07 1244
Kali Linux,这个以其强大的安全工具而闻名的黑客操作系统,早在很久之前就已经引起了广泛关注。它集成了超过600种黑客工具,一度被誉为黑客的首选系统。虽然Kali Linux非常强大,但在进行一些复杂的安全测试时,单靠它可能还是有所不足。现在,一些集成了更多工具的环境包也逐渐成为了大家的选择• 在24年推出了kali的kde魔改,使用的用户还是非常多的,这次更新一下升级到kali linux2024.4版• 在23年推出了kali的i3魔改,i3环境linux小白真的不容易上手,他占用的资源很少。
通达OA安全漏洞检测工具TongdaOATool-V1.3
09-17
通达OA漏洞检测工具
通达OA检测工具-TongdaScan_go
SuperherRo的博客
08-15 782
通达OA漏洞检测工具-TongdaScan_go
最新通达OA漏洞利用工具
leah126的博客
12-31 2048
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。(都打包成一块的了,不能一一展开,总共300多集)
TongdaOATool 使用指南
gitblog_00808的博客
08-20 605
TongdaOATool 使用指南 项目介绍 TongdaOATool 是一个专门针对通达OA系统设计的安全评估工具。它集成了多种漏洞检测与利用功能,适用于安全专家进行合法的渗透测试和系统加固。这款工具能够帮助识别和预防通达OA系统中的潜在风险,涵盖了从任意用户登录到文件上传、文件包含等多种已知漏洞的检测,并不断更新以应对新威胁。 项目快速启动 环境准备 确保您的开发环境安装了Java运行环境(...
OA检测工具-Exp-Tools(三),附下载链接。
白帽子黑客SuperherRo
09-22 750
一款集成高危漏洞exp的实用性工具。
通达OA综合利用工具通达OA综合利用工具
03-29
**通达OA综合利用工具_20200224** ## 集成POC如下 任意用户登录POC: 4个 SQL注入POC: 2个 后台文件上传POC: 3个 本地文件包含POC: 2个 前台文件上传POC(非WEB目录): 1...
通达OA header身份认证绕过漏洞利用工具
12-25
通达OA header身份认证绕过漏洞利用脚本,可以检测漏洞是否存在并生成可用的cookie
通达OA2017-10.16.20180831破解补丁
10-08
通达OA2017安装步骤: ============================= 1、到官网下载OA2017最新版服务端安装包、用户PC端办公精灵、手机端下载址:http://www.tongda2000.com/download/2017.php 2、安装OA服务端到电脑或服务器或云...
通达OA v11.5 swfupload_new.php SQL注入漏洞.md
09-07
通达OA漏洞合集
通达OA前台RCE加EXP任意文件上传+文件包含.py
03-18
通达OA前台RCE加EXP任意文件上传+文件包含 通达OA前台RCE加EXP任意文件上传+文件包含 通达OA前台RCE加EXP任意文件上传+文件包含通达OA前台RCE加EXP任意文件上传+文件包含通达OA前台RCE加EXP任意文件上传+文件包含 通达OA前台RCE加EXP任意文件上传+文件包含
TongdaOATool 开源项目使用手册
gitblog_00842的博客
08-20 430
TongdaOATool 开源项目使用手册 1. 项目目录结构及介绍 TongdaOATool 是一个专注于通达OA系统安全性评估的开源工具,其目录结构精心设计,便于开发者和安全研究人员快速上手。以下是该工具的基本目录布局: TongdaOATool/ ├── lib # 库文件夹,存放第三方依赖库 ├── src # 主代码源文件夹,包含核心功能实现 │ ...
通达OA漏洞检查工具V1.3
xiaokp7的博客
09-17 1061
8、通达OA后台attachment_remark文件包含漏洞(TongdaOA_Attachment_remark_FileInclude)9、通达OA后台management任意文件上传漏洞(TongdaOA_Management_Upload)11通达OA v11.6前台任意文件删除+任意文件上传漏洞(TongdaOA_Delete_Auth)4、通达OA后台ispirit任意文件上传漏洞(Tongda_Ispirit_Upload)5.新增通达OA v11.6前台任意文件删除+任意文件上传漏洞
回顾2024编程之旅,算法题+网络安全
jixuczy的博客
04-16 386
除了开发应用,在2023年中很多时间都在开发接口,主要就是我们的小程序商城需要和外部企业进行合作,进行流量互到,所以有很多接口需要开发。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!对于从来没有接触过网络安全的同学,我们帮你准备了详细的。,大家跟着这个大的方向学习准没问题。
SQL注入-通达OA SQL注入漏洞【CVE-2023-4166】原理及检测思路分析
#7的博客
05-08 1761
本文主要介绍漏洞CVE-2023-4166即通达OA SQL注入漏洞的原理、攻击手法及检测思路。
漏洞复现-通达OA通达OA前台任意用户登录漏洞
xiaokp7的博客
06-18 3351
通达OA(Office Anywhere网络智能办公系统)是中国通达公司的一套协同办公自动化软件。通达OA < 11.5.200417存在一个认证绕过漏洞,利用该漏洞可以实现任意用户登录。攻击者可以通过构造恶意攻击代码,成功登录系统管理员账户,继而在系统后台上传恶意文件控制网站服务器。
漏洞复现-通达OA通达OA auth_mobi.php在线用户登录漏洞
xiaokp7的博客
08-03 1367
通达OA是由北京通达信科科技有限公司自主研发的协同办公自动化系统,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等。通达OA 中存在某接口查询在线用户,当用户在线时会返回 PHPSESSION使其可登录后台系统。
漏洞实例_通达OA远程命令执行漏洞分析_零基础黑客入门教程
程序员六七的博客
06-26 1670
一、漏洞简介通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。
通达oa检测工具怎么用
12-01
通达OA检测工具是一款用于检测和分析通达OA系统存在的安全漏洞和风险的工具。以下是使用该工具的步骤: 1. 下载和安装:首先,从通达OA官方网站或可信的软件下载平台上下载并安装通达OA检测工具。确保选择最新版本...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SuperherRo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值