注意
注意:通达OAv11.6前台任意文件删除+任意文件上传漏洞会删除auth.inc.php,这可能会损坏OA系统谨慎操作
工具更新
本工具webshell采用蚁剑连接,密码均为x
TongdaOATool本工具支持以下漏洞的验证和利用:
1、通达OA任意用户登录漏洞(TongdaOA_AnyUser_Login) 影响版本:2017-V11.4 2、通达OA后台im任意文件上传漏洞(Tongda_Im_Upload) 影响版本:2017-V11.4 3、通达OA后台module任意文件上传漏洞(Tongda_Module_Upload) 影响版本:2017-V11.4 4、通达OA后台ispirit任意文件上传漏洞(Tongda_Ispirit_Upload) 影响版本:2017-V11.4 5、通达OA前台ispirit文件包含漏洞(Tongda_Ispirit_FileInclude) 影响版本:v11-v11.3 6、通达OA前台action任意文件上传漏洞(Tongda_Action_Upload) 影响版本:2016-V11.6 7、通达OA前台authmobi伪造在线用户登录漏洞(TongdaOA_Authmobi_Login) 影响版本:2017-V11.7 8、通达OA后台attachment_remark文件包含漏洞(TongdaOA_Attachment_remark_FileInclude) 影响版本:2017-V11.7 9、通达OA后台management任意文件上传漏洞(TongdaOA_Management_Upload) 影响版本:2017-V11.6 10、通达OA登录认证绕过漏洞(TongdaOA_Bypass_Auth) 影响版本:通达OA2013、通达OA2016、通达OA2017 11、通达OA v11.6前台任意文件删除+任意文件上传漏洞(TongdaOA_Delete_Auth) 影响版本:v11.6 12、通达OA gataway前台任意文件上传漏洞 影响版本:v11.8-v11.10 13、通达OA api_ali前台任意文件上传漏洞 影响版本:v11.2-v11.9
更新记录
V1.1 1、修改webshell为免杀常见杀软的webshell 2、更换webshell工具冰蝎为蚁剑 3、新增通达OA后台module任意文件上传 V1.2 1.新增通达OA前台action任意文件上传漏洞 2.新增通达OA前台ispirit文件包含漏洞 3.新增通达OA后台attachment_remark文件包含漏洞 4.新增通达OA后台management任意文件上传漏洞 5.新增通达OA v11.6前台任意文件删除+任意文件上传漏洞 6.新增通达OA v11.8 前台任意文件上传漏洞 V1.3 1. 代码开源 2. 增加http、socks代理功能,方便抓包分析代码或内网环境下使用 3. 采用线程池修复卡顿问题 4. 新增通达OA前台authmobi伪造在线用户登录漏洞(TongdaOA_Authmobi_Login) 5. 新增通达OA登录认证绕过漏洞(TongdaOA_Bypass_Auth) 6. 新增通达OA gataway前台任意文件上传漏洞
增加http、socks代理功能,方便抓包分析代码或内网环境下使用
采用线程池解决检测漏洞时卡顿问题
免责声明
该工具仅用于安全自查检测,由于传播、利用此工具所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。
本人拥有对此工具的修改和解释权。未经网络安全部门及相关部门允许,不得擅自使用本工具进行任何攻击活动,不得以任何方式将其用于商业目的。
工具获取
关注公众号,后台回复“20230917”,获取工具下载链接。
https://download.csdn.net/download/qq_33331244/88348820
