文章总结： 该文档介绍了一款通达OA漏洞综合利用工具，支持检测42个常见漏洞，涵盖身份认证绕过、SQL注入及文件上传等类型。工具旨在辅助安全专家进行漏洞评估，生成webshell并通过蚁剑连接。文档特别提醒v11.6版本漏洞操作可能损坏系统，并强调工具仅供技术研究及授权项目使用。 综合评分： 78 文章分类： 安全工具,渗透测试,WEB安全,漏洞分析,漏洞POC

【工具推荐】通达OA漏洞综合利用工具

隐雾安全

2026年1月17日 09:01 四川

隐雾安全

致力于为大家提供最实用的安全技能

项目介绍

通达OA系统作为一款广泛应用于企业管理的办公自动化平台，提供了丰富的功能，包括文档管理、工作流审批、项目管理等。这些功能不仅提升了工作效率，也使得系统成为潜在的攻击目标。由于通达OA系统在设计和实现上的一些缺陷，黑客可以利用这些漏洞进行非法访问、数据窃取或系统控制等恶意行为

本工具旨在帮助安全专家和网络管理员识别和利用通达OA系统中的安全漏洞，进行有效的漏洞评估和修复。通过对通达OA系统漏洞的深入分析

注：本工具仅用于学习参考，任何事情与作者无关

每次看到这个工具就让我想起我HW拿到的第一个shell，好不好用试试就知道。

漏洞检测

目前工具支持对以下漏洞的检测：

集成常见通达OA漏洞，总计42个漏洞身份认证绕过：4个xss跨站脚本攻击：1个信息泄露：2个任意文件下载：2个前台SQL注入：13个后台SQL注入：4个前台文件上传：9个后台文件上传：6个

备注：通达OA v11.6前台任意文件删除+任意文件上传漏洞会删除auth.inc.php，这可能会损坏OA系统，请谨慎操作，切勿非法利用和测试

shell连接

本工具webshell采用蚁剑连接，密码均为x

免责声明

仅限用于技术研究和获得正式授权的攻防项目，请使用者遵守《中华人民共和国网络安全法》，切勿用于任何非法活动，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律连带责任

下载地址

https://github.com/xiaokp7/TongdaOATool

网安交流群

微信号丨Hiddenfog001

往期内容

通用0day挖掘思路

某大厂勒索病毒处置流程外泄

今年大一，不小心黑进学校的迎新系统怎么办

英雄联盟租号平台getshell

记一次色情APP的渗透过程

课程推荐

隐雾SRC第八期全面升级

零基础就业班-三包模式

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：隐雾安全 《【工具推荐】通达OA漏洞综合利用工具》