TongdaOATool 通达OA漏洞利用工具 V1.6

发布时间: 2024-07-18

免责声明:

请勿从事非法测试,利用此工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与作者无关。该仅供安全人员用于授权测试,请勿非法使用!!!

本工具webshell采用蚁剑连接,密码均为x

注意:

通达OA v11.6前台任意文件删除+任意文件上传漏洞会删除auth.inc.php,这可能会损坏OA系统谨慎操作

功能

集成常见通达OA漏洞,总计42个漏洞

身份认证绕过:4个

xss跨站脚本攻击:1个

信息泄露:2个

任意文件下载:2个

前台SQL注入:13个

后台SQL注入:4个

前台文件上传:9个

后台文件上传:6

可检测的漏洞列表

本工具支持检测以下漏洞:
    1、通达OA任意用户登录漏洞(Tongda_Anyuser_Login)
            影响版本:2017-11.4
    2、通达OA share身份认证绕过漏洞(Tongda_Share_Bypassauth)
            影响版本:2017-11.8
    3、通达OA登录认证绕过漏洞(Tongda_Header_Bypassauth)
            影响版本:201320162017
    4、通达OA auth_mobi.php在线用户登录漏洞(Tongda_Auth_Identityforgery)
            影响版本:2017-11.7
    5、通达OA td_listview XSS跨站脚本攻击漏洞(Tongda_TdListview_XSS)
            影响版本:2013-12.7
    6、通达OA down 未授权员工信息泄露漏洞(Tongda_Down_Info)
            影响版本:2017-11.10
    7、通达OA get_contactlist敏感信息泄漏漏洞(Tongda_Contactlist_Info)
            影响版本:2013
    8、通达OA video_file任意文件下载漏洞(Tongda_Video_AnyfileDownload)
            影响版本:2011
    9、通达OA get_file任意文件下载漏洞(Tongda_Getfile_AnyfileDownload)
            影响版本:2011
    10、通达OA get_datas前台SQL注入漏洞(Tongda_Getdatas_SqlInjection)
            影响版本:2017- 11.8
    11、通达OA Query前台SQL注入漏洞(Tongda_Query_SqlInjection)
            影响版本:11.2-11.6
    12、通达OA report_bi前台SQL注入漏洞(Tongda_ReportBi_SqlInjection)
                    影响版本:2017-11.6
    13、通达OA share前台SQL注入漏洞(Tongda_Share_SqlInjection)
                    影响版本:2017-11.6
     14、通达OA getcallist前台SQL注入漏洞(Tongda_Getcallist_SqlInjection)
                    影响版本:11.2-11.5
        15、通达OA swfupload_new前台SQL注入漏洞(Tongda_SwfuploadNew_SqlInjection)
                    影响版本:11.2-11.5
        16、通达OA pro_id前台SQL注入漏洞(Tongda_Proid_SqlInjection)
                    影响版本:11.2-11.6
        17、通达OA retrieve_pwd前台SQL注入漏洞(Tongda_RetrievePwd_SqlInjection)
                    影响版本:2017-11.6
        18、通达OA turn前台SQL注入漏洞(Tongda_Turn_SqlInjection)
                    影响版本:2013
        19、通达OA interface_auth前台SQL注入漏洞(Tongda_InterfaceAuth_SqlInjection)
                    影响版本:2011
        20、通达OA interface_go前台SQL注入漏洞(Tongda_InterfaceGo_SqlInjection)
                    影响版本:2011
        21、通达OA check_secure_key前台SQL注入漏洞(Tongda_CheckSecureKey_SqlInjection)
                    影响版本:2011
        22、通达OA FLOW_ID前台SQL注入漏洞(Tongda_FlowId_SqlInjection)
                    影响版本:2011
    23、通达OA repdetail后台SQL注入漏洞(Tongda_Repdetail_SqlInjection)
            影响版本:2017-11.5
    24、通达OA starttime后台SQL注入漏洞(Tongda_StartTime_SqlInjection)
            影响版本:11.2-11.5
    25、通达OA orderby后台SQL注入漏洞(Tongda_Orderby_SqlInjection)
            影响版本:2013-11.6
    26、通达OA通达OA inbox后台SQL注入漏洞(Tongda_Inbox_SqlInjection)
            影响版本:2013-11.6
    27、通达OA CONTENT_ID_STR后台SQL注入漏洞(Tongda_ContentIdStr_SqlInjection)
            影响版本:2013-11.6
    28、通达 privateUpload前台任意文件上传漏洞(Tongda_privateUpload_AnyFileUpload)
            影响版本:2011
    29、通达OA vmeet前台任意文件上传漏洞(Tongda_Vmeet_AnyFileUpload)
            影响版本:2011
    30、通达OA ispirit前台文件包含漏洞(Tongda_Ispirit_FileInclude)
            影响版本:11.2-11.3
    31、通达OA action前台任意文件上传漏洞(Tongda_Action_AnyFileUpload)
            影响版本:2016-11.6
    32、通达OA api.ali前台任意文件上传漏洞(Tongda_ApiAli_AnyFileUpload)
            影响版本:11.2-11.9
    33、通达OA action_crawler前台任意文件上传漏洞(Tongda_ActionCrawler_AnyFileUpload)
            影响版本:2016-11.6
    34、通达OA gateway前台任意文件上传漏洞(Tongda_Gateway_AnyFileUpload)
            影响版本:11.8-11.10
    35、通达OA moare反序列化漏洞(Tongda_More_UnSerializable)
            影响版本:11.7-12.0
    36、通达OA print.php前台任意文件删除&getshell(Tongda_Print_AnyFileDelete)
            影响版本:11.6
    37、通达OA im后台任意文件上传漏洞(Tongda_Im_AnyFileUpload)
            影响版本:2017-11.4
    38、通达OA module后台任意文件上传漏洞(Tongda_Moudule_AnyFileUpload)
            影响版本:2017-11.4
    39、通达OA ispirit后台任意文件上传漏洞(Tongda_Ispirit_AnyFileUpload)
            影响版本:2017-11.4
    40、通达OA update后台文件上传漏洞(Tongda_Update_AnyFileUpload)
            影响版本:2017-11.4
    41、通达OA update后台文件包含漏洞(Tongda_Update_AnyFileInclude)
            影响版本:2017-11.8
    42、通达OA utils后台任意文件上传(Tongda_Utils_AnyFileUpload)
            影响版本:2017-11.6

TongdaOATool 通达OA漏洞利用工具 V1.6

下载地址

项目地址

GitHub:

https://github.com/xiaokp7/TongdaOATool

请在下方留下您的评论.加入TG吹水群