[代码审计]某国产OA漏洞挖掘

已于 2024-07-09 15:55:24 修改
阅读量1.2k 收藏 16
点赞数 22
文章标签: .net web安全
于 2024-07-09 15:53:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LiangYueSec/article/details/140298096
版权

如果觉得该文章有帮助的,麻烦师傅们可以搜索下微信公众号:良月安全。点个关注,感谢师傅们的支持。
这两天比较闲,没有什么项目。于是看看了之前获取到的一个系统的源码,结果一看是.net。我哪会什么.net代码审计啊,本着来都来了的原则,还是打算看看。

工具准备

ILSpy:[icsharpcode/ILSpy: .NET Decompiler with support for PDB generation, ReadyToRun, Metadata (&more) - cross-platform! (github.com)](https://github.com/icsharpcode/ILSpy)

ILSpy主要用于反编译dll动态链接库。默认安装就好,安装完成后如果没有安装.net框架,工具会给出连接下载默认安装即可。安装完成后打开如下。
在这里插入图片描述

正式审计

首先看下目录。
在这里插入图片描述
是webform架构,那他的路由就是在任意目录下的asxm、aspx、ashx等文件中调用bin目录下的动态链接库。先看下这个系统的一个历史漏洞。

历史漏洞追踪

在这里插入图片描述

看的出来时调用了SalaryAccounting类,我们通过ILSpy反编译bin目录下的KPMIIS.Web.dll,然后进去找到对应的类。
在这里插入图片描述
从pyload中可以看出是调用Calculate方法和staffId参数。直接源码贴下

[WebMethod]
public string Calculate(string SalaryCategory, string StaffBirthDay, string staffId, string Department, string SubOrg, string taxMonthly)
			}
		string message = AccountProcess(SalaryCategory, StaffBirthDay, staffId.TrimEnd(new char[1] { ',' }), strOrganizationCode, SubOrg, taxMonthly);
		sbMessage.Append(message);
	}
	catch (Exception ex)
		protected string AccountProcess(string SalaryCategory, string StaffBirthDay, string staffId, string Department, string SubOrg, string taxMonthly)
{
	try
	{
		StringBuilder sqlStr = new StringBuilder();
		sqlStr.Append("SELECT HR_SalaryFilesHistory.SFH_STAFF_ID FROM dbo.HR_SalaryFilesHistory  WHERE HR_SalaryFilesHistory.SFH_SA_ID != 0 ");
		if (!string.IsNullOrEmpty(SalaryCategory))
		{
			sqlStr.Append($" AND SCO_CATEGORY_ID={SalaryCategory} ");
		}
		if (!string.IsNullOrEmpty(StaffBirthDay))
		{
			sqlStr.Append(string.Format(" AND YEAR(SFH_SALARY_YEARS)=YEAR('{0}') AND MONTH(SFH_SALARY_YEARS)=MONTH('{0}') ", StaffBirthDay + "-01"));
		}
		if (!string.IsNullOrEmpty(staffId))
		{
			sqlStr.Append($" AND SFH_STAFF_ID IN (SELECT tempString FROM F_SplitNew('{staffId}',','))");
		}
		if (!string.IsNullOrEmpty(Department))
		{
			sqlStr.Append($" AND SFH_STAFF_DEPARTMENT_ID IN (SELECT tempString FROM F_SplitNew('{Department}',',')) ");
		}
		if (!string.IsNullOrEmpty(SubOrg))
		{
			sqlStr.Append($" AND SUB_ORG_ID = {SubOrg} ");
		}
		DataSet ds = Gateway.Default.FromCustomSql(sqlStr.ToString()).ToDataSet();
		StringBuilder staffIdFlow = new StringBuilder();
		if (ds.Tables.Count > 0)
		{
			for (int i = 0; i < ds.Tables[0].Rows.Count; i++)
			{
				if (i == ds.Tables[0].Rows.Count - 1)
				{
					staffIdFlow.Append(ds.Tables[0].Rows[i][0]);
				}
				else
				{
					staffIdFlow.Append(string.Concat(ds.Tables[0].Rows[i][0], ","));
				}
			}
		}
		_bllSalaryFilesHistory.Delete(Convert.ToDateTime(StaffBirthDay), Convert.ToInt32(SalaryCategory), staffId, Department, SubOrg);
		ReshuffledAccounting(SalaryCategory, StaffBirthDay, staffId, Department, SubOrg, staffIdFlow.ToString());
		_bllSalaryFilesHistory.Insert(Convert.ToDateTime(StaffBirthDay), Convert.ToInt32(SalaryCategory), 1, staffId, Department, SubOrg, taxMonthly);
		DataTable dtHistory = _bllHrVSalaryFilesHistoryList.GetDataTable(HR_V_SalaryFilesHistoryList._.SCO_CATEGORY_ID == SalaryCategory && HR_V_SalaryFilesHistoryList._.SFH_SALARY_YEAR == DateTime.Parse(StaffBirthDay).Year && HR_V_SalaryFilesHistoryList._.SFH_SALARY_MONTH == DateTime.Parse(StaffBirthDay).Month);
		StringBuilder sbWhere = new StringBuilder();
		if (!string.IsNullOrEmpty(SalaryCategory))
		{
			sbWhere.Append($" and T1.SCO_CATEGORY_ID = {SalaryCategory}");
		}
		if (!string.IsNullOrEmpty(staffId))
		{
			sbWhere.Append($" and SFH_STAFF_ID in ({staffId})");
		}
		if (!string.IsNullOrEmpty(StaffBirthDay))
		{
			sbWhere.Append(string.Format(" and T1.SFH_SALARY_YEARS = '{0}'", new DateTime(Convert.ToDateTime(StaffBirthDay).Year, Convert.ToDateTime(StaffBirthDay).Month, 1).ToString("yyyy-MM-dd")));
		}
		DataTable dtSalaryHistoryTotalTable = Gateway.Default.FromStoredProcedure("HR_P_SalaryHistoryTotalTable").AddInputParameter("@where", DbType.String, sbWhere.ToString()).ToDataSet()
			.Tables[0];
		WhereClip wcMonthly = new WhereClip() && new WhereClip(" 1 = 1 ", null, null, null);
		string wcMonthDate = "";
		if (!string.IsNullOrEmpty(StaffBirthDay))
		{
			wcMonthly = wcMonthly && new WhereClip($" ham.MONTHLY_DATE = '{StaffBirthDay}' ", null, null, null);
			wcMonthDate = StaffBirthDay;
		}
		if (!string.IsNullOrEmpty(staffId))
		{
			wcMonthly = wcMonthly && new WhereClip($" A.STAFF_ID in ({staffId}) ", null, null, null);
		}
		if (!string.IsNullOrEmpty(Department))
		{
			string strOrganizationCode = "";
			strOrganizationCode = new BLLCOMMON_Organization().GetIDsOrganizations(Department);
			if (strOrganizationCode != "")
			{
				wcMonthly = wcMonthly && new WhereClip(string.Format(" A.ORGANIZATION_ID in ({0}) ", string.IsNullOrEmpty(strOrganizationCode) ? "-1" : strOrganizationCode), null, null, null);
			}
		}
		if (!string.IsNullOrEmpty(SubOrg))
		{
			wcMonthly = wcMonthly && new WhereClip(string.Format(" E.SUB_ORG_ID in ({0}) ", string.IsNullOrEmpty(SubOrg) ? "-1" : SubOrg), null, null, null);
		}
		DataTable dtMonthly = _bllHrAttendanceMonthly.GetTable(wcMonthly, new WhereClip($" FLOW_STATE = {3} ", null, null, null), wcMonthDate);

可以看到是通过字符拼接的方式直接拼接参数,进入FromCustomSql执行sql语句,从而导致sql注入。这样的话同理的其他一些参数也可以sql。

sql注入挖掘

那我们知道了这里的sql的执行流程,我们直接全局搜索FromCustomSql,查看是否其他sql语句参数可控且无过滤。因为ILSpy的全局搜索不是很好用,所以这边保存代码导出用vscode打开查看搜索。可以看到有很多。
在这里插入图片描述
这里随便找一两个接口测试一下就结束了。
在这里插入图片描述

文件上传挖掘

依旧是先搜索关键字。
在这里插入图片描述
首先就可以看到存在fckeditor编辑器,编辑器上传这边就不多说了,继续查看其他接口。
后面有陆续找到一些图片、附件上传的接口,发现都存在过滤。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
最后发现有一处上传未过滤,具体信息就不透露了。因为本人能力不足实在太菜,只会照葫芦画瓢,大概只能到这种程度了。

LiangYueSec
关注
kpm6 多处SQL注入漏洞复现
0xSec
03-31 530
kpm6 存在多处SQL注入漏洞,未经身份验证的攻击者可获取数据库敏感信息
万户OA漏洞分析、利用与防护
不忘初心,护天下安全!
09-29 3511
万户OA 除了 /defaultroot/officeserverservlet 接口外的另一处接口 OfficeServer.jsp 同时也存在任意文件上传漏洞,导致攻击者可上传任意文件获取服务器权限。万户OA download_ftp.jsp文件存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件。万户OA download_old.jsp文件存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件。2.使用防火墙等设备对所有相关poc进行检测、防护。可直接上传恶意jsp文件。
实战|记一次java协同办公OA系统源码审计
weixin_46239998的博客
06-26 2446
实战|记一次java协同办公OA系统源码审计
某个OA系统的代码审计
weixin_41306232的博客
07-24 60
2023年HVV中爆出来的洞了,但是有一些漏洞点修复了,刚好地市级的攻防演练中遇到了一个,想着把可能出现问题的点全部审计一下,顺便熟悉一下.net代码审计。ps:感兴趣的师傅们可以自行根据poc搜索源码。0x1 反编译好吧,当我没说,下载dnspy反编译即可,但是首先要找到web逻辑代码才能开始审计,因为这套oa是使用了m...
漏洞复现】某凌OA 文件Copy导致远程代码执行
weixin_54799594的博客
07-25 3414
漏洞复现笔记
自动化渗透测试工具介绍
weixin_52514668的博客
04-05 8096
. 渗透测试“三板斧” 1.信息搜集——全面了解系统 网络信息:DNS IP 端口 服务器信息:操作系统 版本 服务 中间件 ;版本 WEB系统信息:使用技术 部署系统 数据库 第三方软件:版本 社工记录:个人邮件地址 泄露账号密码 历史网站信息 2.漏洞利用——占领根据地 web漏洞发现 系统漏洞发现 漏洞利用 编写自动漏洞利用脚本 放置隐蔽后门 3.横向扩展——扩大成果,深度挖掘 内网架构分析、攻陷信息中心和数据中心、突破认证服务器(AD域)、 内网中间人攻击(获取单点信息)、多级多点后
《2021企业数智化转型升级服务全景图/产业图谱1.0版》重磅发布
数据猿
10-14 1万+
数据猿&上海大数据联盟联合出品数据智能产业创新服务媒体——聚焦数智· 改变商业2021年6月16日,数据猿携手上海大数据联盟,依托双方优势资源与力量,共同以媒体+联盟的方式,以推...
公司运营-社会工程管理
aming小老弟
12-01 946
一、按社会功能划分的核心群体2025年中国百强城市名单前1~2线城市 三级分销 三级分销模式是一种分销策略, 基于多层级代理关系,通过发展下级分销商来扩大市场覆盖和提升销售业绩。销售过程中,将费用分为进行分配,每个等级都有相应的。品牌商或企业作为一级分销商,发展下级分销商形成二级、三级分销网络。每个分销商都可以继续向下发展自己的分销商,但分销层级最多只能有三级。分销商只能所得的佣金,超过三级的部分则无法获得佣金。谁卖出谁拿销售佣金:无论分销商处于哪个级别,他们销售商品所获得的都是一致的。这种设计方式保证了
电力行业安全建设方案
热门推荐
god881205的博客
02-22 4万+
1.    电力行业概述 1.1. 电力行业简介 电力系统是由发电、输电、变电、配电、用电设备及相应的辅助系统组成的电能生产、输送、分配、使用的统一整体。由输电、变电、配电设备及相应的辅助系统组成的联系发电与用电的统一整体称为电力网。 电力工业是国民经济发展中最重要的基础能源产业,是关系国计民生的基础产业。电力行业对促进国民经济的发展和社会进步起到重要作用,与社会经济和社会发展有着十分密切的
代码审计oasys系统
qq_44029310的博客
06-07 4376
oasys是一个OA办公自动化系统,基于springboot框架开发,使用Maven进行管理的项目,源码可以访问链接下载:https://github.com/misstt123/oasys或者github搜索oasys自行下载。
代码审计思路(下)
武天旭的博客
10-05 3604
前面提到逆向回溯的审计方式针对特征明显的安全漏洞挖掘是非常有效的,但是同样会有很多弊端,通过逆向回溯的方式只能对通用漏洞进行快速审计,不能全面挖掘更有价值的漏洞,如果在时间允许的情况下,企业中安全运营对自身产品进行代码审计,就需要了解整个应用的业务逻辑,比如越权类漏洞,需要了解应用中权限划分,每一级别用户的功能,这样才能很好的发现并确定哪些操作是非法的。
万户oa漏洞复现
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-25 2403
万户oa漏洞复现:万户oa漏洞详情 /defaultroot/officeserverservlet 路径存在文件上传漏洞 万户oa漏洞复现 POST /defaultroot/officeserverservlet HTTP/1.1 Host: XXXXXXXXX:7001 Content-Length: 782 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: http://XXXXXXXX7001 User-Agent
通达OA V11.3 代码审计 (文件上传、文件包含、任意用户登录漏洞
Alexz__的博客
09-23 2741
因为这段时间比较忙,抽出时间写博客很不容易,所以就简单的吧印象笔记里面的内容站上俩,没有写太多具体的分析过程,尽量都在截图中说明了 附件 通达OA11.3源码(未解码,可以自己去下SeayDzend解码) 链接:https://pan.baidu.com/s/17kItUwoPfPIeeK2ZnRnmEA 提取码:ALEX 文件上传漏洞: \ispirit\im\upload.php 5:$P参数非空即可绕过上传限制 ...
国产软件漏洞分析系列3:泛微OA e-cology 8.1代码审计(1)
重新启程
10-20 1907
整体浏览了一下代码,大概翻了一下。大概就能明白为什么总是报出来sql注入、xss跨站脚本攻击了。 我随便拿了一个类来给大家分析一下: /* */ import java.io.File; /* */ import java.io.FileInputStream; /* */ import java.io.IOException; /* */ import ja...
.NET 8 开发的WinForms 程序中展示程序版本号的几种方式
dotnet研习社
05-12 1201
本文介绍了在 WinForms 应用程序中显示程序版本号的几种常见方法,适用于不同场景和需求。首先,确保项目为 SDK 风格,并在 .csproj 文件中配置版本号信息。接着,提供了四种示例:1)在窗体标题栏显示版本号,使用 Application.ProductVersion;2)在 Label 中显示程序集版本号,使用 AssemblyVersion;3)在状态栏中显示文件版本号,使用 FileVersionInfo;4)在 AboutBox 中显示版本号,使用 Application.ProductV
动易.NET系列产品:Safari浏览器登录后台提示登录信息过期的问题
最新发布
bbsh2099的博客
05-14 357
-更新web.config文件,找到system.web节,追加下面的配置-->问题分析:Safari浏览器无法登录后台,提示登录信息过期。
LabVIEW与PLC通讯程序S7.Net.dll
bjcyck的博客
05-13 767
下图中展示的是 LabVIEW 环境下通过调用S7.Net.dll 组件与西门子 PLC 进行通讯的程序。LabVIEW 作为一种图形化编程语言,结合S7.Net.dll 的.NET 组件优势,在工业自动化领域中可高效实现与 PLC 的数据交互,快速构建工业监控与控制应用。相较于传统通讯方式,该方案兼具图形化编程的直观性与 C# 组件的高效性。连接初始化通过S7.Net.dll 的 Plc 类构造器创建连接实例支持同时配置多个 PLC(如本地测试 IP 127.0.0.1)通过 IsConnected 属性
42、在.NET 中能够将⾮静态的⽅法覆写成静态⽅法吗?
qq_27678663的博客
05-12 860
.NET中,不能将非静态方法(实例方法)直接覆写(Override)为静态方法(Static Method)。.NET强制要求覆写方法保持相同的静态性(实例/静态)。若需静态方法,应通过隐藏(new)或重构代码实现,而非尝试覆写实例方法。
通达OA系统代码审计:XSS与SSRF漏洞及防范措施
在"代码审计:通达OA审计文档.pdf"中,文档详细探讨了大型项目中代码安全性的关键问题,特别是针对通达V11.10版本的通达办公自动化系统(TDOA)的审计发现。文档涵盖了两个主要的漏洞类型:跨站脚本(XSS)和服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值