注册框sql注入_通达OA多处SQL注入漏洞

最新推荐文章于 2024-07-10 08:00:00 发布
最新推荐文章于 2024-07-10 08:00:00 发布
阅读量479 收藏
点赞数
文章标签: 注册框sql注入

通达OA最近悄咪咪的更新了一次,以下所发漏洞在新版基本已经失效

超全局变量覆盖导致SQL注入

首先是全局初始化参数:

if (0 < count($_GET)) {

foreach ($_GET as $s_key => $s_value ) {

if (!is_array($s_value)) {

$_GET[$s_key] = addslashes(strip_tags($s_value));

}

$s_key = $_GET[$s_key];

}

reset($_GET);

}

上面的代码会将GET所接受的参数自动注册为变量,如下demo所示:

php

foreach($_GET as $key => $v){

$$key=$v;

}

echo $admin;

?>

直接在GET中传递admin:

106026cb5dddb0998d7a657d9a5687d3.png

在查看如下代码:

php

if (0 < count($_GET)) {

foreach ($_GET as $s_key => $s_value ) {

if (!is_array($s_value)) {

$_GET[$s_key] = addslashes(strip_tags($s_value));

}

$$s_key = $_GET[$s_key];

}

reset($_GET);

}

echo $_GET['admin'];

?>

假如我们走通达OA正常的流程:

5c85aeb050f2903dbbb758e791dd7d1d.png

如果我们覆盖$_GET超全局变量:

1ffe42227b34d075477e8767a21b79c2.png

可以轻而易举的绕过GPC,那么思路有了接下来就是找调用$GET或者$POST传参的地方:

3835f606f489cfc680a0cf2e68fea298.png

这种地方很多,但是我们需要寻找未授权的地方,因为通达OA是面向过程的程序,所以只需要定位到验证权限文件,然后查找没有包含他的地方。

include_once "inc/auth.inc.php";

最后找到很多,拿一个比较简单的出来 retrieve_pwd.php:

include_once "inc/conn.php";

include_once "inc/utility_all.php";

$username = $_GET["username"];

$email = $_GET["email"];

$query = "SELECT UID,USER_ID,USER_NAME,USEING_KEY FROM USER WHERE BYNAME='$username'";

$cursor = exequery(TD::conn(), $query);

16d4ced71990fe686401ea5cc1737b25.png

14f84fc873db2c40f454b69191ff0ea9.png

urldecode利用不当导致SQL注入:

go.php:

include_once "inc/session.php";

$OA_USER = str_replace(array(",", "\\\"", "\'", "\"", "'", "\t", "\\", "\\\\", "%27", "%22"), array("", "", "", "", "", "", "", "", "", ""), $OA_USER);

$APP_UNIT = str_replace(array(",", "\\\"", "\'", "\"", "'", "\t", "\\", "\\\\", "%27", "%22"), array("", "", "", "", "", "", "", "", "", ""), $APP_UNIT);

$OA_USER = urldecode($OA_USER);

$APP_UNIT = urldecode($APP_UNIT);

$query = "select MEMBER_ID from CONNECT_CONFIG where MEMBER_NAME='$APP_UNIT'";

$cursor = exequery(TD::conn(), $query);

首先使用str_replace绕过过滤危险字符:

$APP_UNIT = str_replace(array(",", "\\\"", "\'", "\"", "'", "\t", "\\", "\\\\", "%27", "%22"), array("", "", "", "", "", "", "", "", "", ""), $APP_UNIT);

然后使用urldecode解码:

$OA_USER = urldecode($OA_USER);

所以我们只需要传:

%25%252727

a94c85bf18524b66d9743f5388956c85.png

当然通达OA还有其他WAF,但是因为漏洞影响暂且不提。

weixin_39996234
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞复现-通达OA通达OA report_bi存在前台SQL注入漏洞
xiaokp7的博客
02-18 513
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。通达OA为各行业不同规模的众多用户提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,帮助广大用户降低沟通和管理成本,提升生产和决策效率。通达OA report_bi.func.php 存在SQL注入漏洞,攻击者通过漏洞可以获取数据库信息。
通达OA 变量覆盖导致的RCE.md
04-12
通达OA 变量覆盖导致的RCE
2022-10-10(通达OA SQL注入漏洞)
qq_45751902的博客
10-10 2000
经过测试发现过滤了单引号,对r字符进行转换成16进制,通过手工最终获得数据库用户名root。使用手工注入,经过测试发现过滤了单引号,对r字符进行转换成16进制(用户名是root)首先创建一个普通账户 lisi:lisi123456。中存在 一个$_GET[“id”];参数位置:SORT_ID,FILE_SORT。发现时间明显变长了,再此证明id没有被过滤。登录账号是admin,密码为空。利用条件:一枚普通账号登录权限。利用条件:11.5版本无需登录。
通达OA query.php SQL注入漏洞
Keepb1ue的博客
04-28 625
通达OA(Office Automation)是一款企业级协同办公软件,旨在为企业提供高效、便捷、安全、可控的办公环境。它涵盖了企业日常办公所需的各项功能,包括人事管理、财务管理、采购管理、销售管理、库存管理、生产管理、办公自动化等。通达OA支持PC端和移动端使用,可以实现随时随地办公,提高工作效率和协作能力。同时,它还具备高度可定制性和扩展性,可以根据企业的实际需求进行定制开发,满足企业的个性化需求。通达OA广泛应用于各类企业,帮助企业实现数字化转型,提高管理效率和竞争力。
通达OA 11.5 SQL注入漏洞复现
qq_44657899的博客
06-30 3894
漏洞描述 通达OA 11.5后台存在sql注入 漏洞影响版本 通达oa 11.5 首先下载通达OA 11.5,https://cdndown.tongda2000.com/oa/2019/TDOA11.5.exe
通达OA v11.5 swfupload_new.php SQL注入漏洞.md
09-07
通达OA漏洞合集
通达OA sql注入漏洞.zip
08-24
该压缩包文件“通达OA sql注入漏洞.zip”包含了与这个特定漏洞相关的材料。`README.md`文件通常会提供项目简介、如何运行和验证漏洞的步骤,以及可能的安全建议。`CVE-2023-4166.py`很可能是一个Python脚本,设计...
通达OA v11.6 insert SQL注入漏洞.md
09-07
通达OA漏洞合集
[0day]通达 OA v11.7 后台 SQL 注入到 RCE1
08-03
通达 OA v11.7 版本存在后台 SQL 注入漏洞,攻击者可以通过构造特殊的 SQL 语句,绕过安全机制,获取数据库权限,并最终获得远程代码执行(RCE)权限。 知识点一:SQL 注入漏洞 SQL 注入漏洞是指攻击者通过构造...
uc.rar_PHP 解密_通达OA
09-24
4. **安全评估**:检查代码中是否存在安全漏洞,如SQL注入、XSS攻击等,并考虑如何修复。 5. **接口测试**:通过发送HTTP请求模拟客户端,验证API接口的功能和响应,确保其正常工作。 在实际操作中,解密PHP文件...
任意注册漏洞
2301_80127209的博客
11-14 364
目录一漏洞介绍二实战演示三漏洞修复本文由掌控安全学院 - 小博 投稿1.未验证邮箱/手机号 情景:应用为了方便用户记录用户名,使用邮箱和手机号作为用户名(因此很多应用在注册的时候就要求用户填写,多数时候都会给用户发送激活信息,激活后才能登录) 缺陷: 1、未审核邮箱/手机号是否有效(及未发送验证信息),从而实现任意注册账号 2、未验证数据库中是否已经存在相同的用户名(导致同一账号,有2个密码,且用户数据产生读取问题)2、不安全验证邮箱/手机号 用户注册邮箱/手机号提交后,会通过发验证码等方法对其真实性进行
sql注入漏洞_通达OA 后台多个SQL注入漏洞
weixin_39820244的博客
12-09 812
近日,深信服安全团队监测到通达OA后台存在多个SQL注入漏洞的信息。漏洞利用需要具备普通用户权限,攻击者可通过拼接SQL语句,来执行恶意的SQL代码, 或获取数据库敏感数据。漏洞名称:通达OA 后台多个SQL注入漏洞威胁等级:高危影响范围:通达OA < V11.6、通达OA <= V11.7漏洞类型:SQL注入利用难度:中等漏洞分析1通达OA介绍通达OA(Office An...
通达OA检测工具-TongdaScan_go
siu~
08-15 543
通达OA漏洞检测工具-TongdaScan_go
github工具之OA综合利用python
千寻的博客
12-29 2989
oa工具
通达OA 11.5 sql注入漏洞复现
weixin_46801402的博客
11-01 608
通达OA 11.5 sql注入漏洞复现
漏洞复现-通达OA通达OA WHERE_STR 存在前台SQL注入漏洞
xiaokp7的博客
02-18 452
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。通达OA WHERE_STR存在前台SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感信息。
漏洞复现】通达OA v2017 video_file.php 任意文件下载漏洞
最新发布
凝聚力安全团队
07-10 206
通达OA v2017 video_file.php接口存在任意文件读取漏洞,未经身份认证的攻击者可利用此漏洞获取服务器内部敏感文件,使系统处于极不安全的状态。通达OA(OfficeAnywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。
通达OA后台SQL注入到RCE
box
09-18 1991
0x00 前戏 一趟护网下来大佬们收割了一大波0day,奈何自己没有没有技术,只能打打靶机。 可能是自己比较菜原因,复现过程中遇到不少坑。 0x01 测试环境 测试版本:11.5.200417 版本 限制条件:需要账号登录 大佬们说是 通达OA v11.7版本,但是试了试 11.5.200417 版本也是同样存在 SQL注入的,更惊喜的是,刚好可以使用11.5版本的前台任意用户登录漏洞,绕过登录需要登录这一条件。 漏洞原理代码分析可以参考云川安全团队的师傅的文章 0x02 漏洞复现 漏洞url:http:
sql注入_万户oa_documentedit.jsp
01-21
在万户OA系统的documentedit.jsp页面中,如果未对用户输入进行正确的过滤和验证,可能存在SQL注入漏洞。 攻击者可以通过在输入字段中输入恶意的SQL语句,来实施SQL注入攻击。例如,攻击者可以通过在输入字段中输入'...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值