sql注入:
WooYun: 万户OA某处无限制sql注入
里面的方法适用于标准版,专业版存在同样的文件但是路径不一样。defaultroot\iWebRevision.jsp\DocumentEdit.jsp
if (ObjConnBean.OpenConnection()) {
System.out.println("OpenConnection");
String Sql="Select * From Document Where RecordID='"+ RecordID + "'";
ResultSet rs = null;
rs = ObjConnBean.ExecuteQuery(Sql);
专业版使用的数据库是oracle所以poc不能用了,直接上sqlmap吧。
这样两个版本都通杀了,不知道这系统为什么要一个文件到处放。漏洞证明:
文件上传:(这漏洞两个版本都适用的)defaultroot/dragpage/upload.jsp
代码里是有过滤,但是看通过截断绕过setAllowedFilesList方法的黑名单限制// Initialization
mySmartUpload.initialize(pageContext);
//mySmartUpload.setTotalMaxFileSize(100000);
mySmartUpload.setAllowedFilesList("jpg,gif,bmp,swf,avi");
// Upload
mySmartUpload.upload();
构造一个上传文件
Upload a new file:
FileUpload
然后抓包截断
shell到手~
修复方案: