本文详细分析了IBOS协同办公管理系统存在的三个SQL注入漏洞(CNVD-2020-41793, CNVD-2020-41794, CNVD-2020-41795),通过复现漏洞场景,揭示了参数未过滤导致的SQL注入风险,并提供了相关代码片段作为证据。提醒用户关注系统更新,防止数据泄露。"
104771396,7611392,微信小程序:自定义radio样式指南,"['小程序开发', '前端开发', 'UI设计', '微信生态']
动动大拇指
快快关注哦
本文来自未命名安全团队内部小组原创分享,未经授权禁止转载.
作者:未命名安全团队@YinYi
危害级别
中
深圳市博思协创网络科技有限公司 IBOS v4.5.5
影响产品
漏洞描述
IBOS是一个基于PHP开发的协同办公管理系统。
IBOS办公系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
CNVD-2020-41793
1
漏洞复现
漏洞触发位置在个人网盘中的新建文件夹处
(图文来源:过程截图)
漏洞数据包
(图文来源:过程截图)
Payload:asdas' AND (SELECT 5360 FROM (SELECT(SLEEP(5)))AkWZ) AND 'yxqB'='yxqB漏洞分析
根据此WEB程序应用规则,找到漏洞出发页面:
/system/module/file/views/personal/index.php
在此页面代码的第168行到171行,此按钮触发创建文件夹动作。
(图文来源:分析截图)
查看数据包
(图文来源:分析截图)
次数举报op参数是mkdir动作,根据路由规则,跟进到
/system/module/file/controllers/BaseController.php文件
在文件的第217行进而发现存在mkdir方法,代码如下:
(图文来源:分析截图)
219行接收pid和name参数,进一步查看getRequest方法,代码如下
(图文来源:分析截图)
此方法只是起到一个接收数据的作用未进行对参数的过滤。
在BaseController.php的第217行进行了使用了FileCheck.php文件中的isExist方法,跟进查看
(图文来源:分析截图)
代码的第61行只对$name进行XSS的过滤未防范sql注入。
所以形成SQL注入漏洞
CNVD-2020-41794
1
漏洞复现
用户在评论指派任务时,可以进行sql注入漏洞
业务场景截图,如下
(图文来源:过程截图)
漏洞截图
(图文来源:过程截图)
漏洞数据包
(图文来源:过程截图)
2
漏洞分析
根据数据包提示,得到漏洞形成的根本页面:
/system/modules/assignment/views/default/show.php
漏洞形成的起始代码,在此页面的第150行。
(图文来源:分析截图)
根据此应用程序路由规则第152行加载
/system/modules/assignment/widgets/AssignmentComment.php
跟进此文件,看到此文件初始化url,即添加评论的url链接。
(图文来源:分析截图)
根据应用程序路由规则跟进到文件
/system/modules/message/core/Comment.php的第198行,此文件下addComment是接收POST内容的方法。
(图文来源:分析截图)
接收完数据内容后,POST内容数据进入
/system/modules/message/model/Comment.php
具体详细代码如下:
(图文来源:分析截图)
(图文来源:分析截图)
此代码是评论内容添加代码,代码的第43行,可以看到此方法接收$data内容是经过安全过滤的,此处先不研究安全过滤方法是否存在绕过问题。继续向下查看此段代码,在代码的第75行可以看到此处并不是使用经过过滤的$add['touid'],而是直接使用的$data['touid']
(图文来源:分析截图)
跟进fetchRealnameByUid方法:
(图文来源:分析截图)
此处即为sql语句查询,此处中的方法未进行过滤,形成sql注入漏洞。
CNVD-2020-41795
1
漏洞复现
用户在查看简历导出简历处,可以进行sql注入漏洞
业务场景截图,如下:
(图文来源:过程截图)
漏洞截图
(图文来源:过程截图)
漏洞数据包
(图文来源:过程截图)
Payload:r=recruit/contact/export&contactids=1') AND 4943=4943 AND ('EeZg'='EeZg漏洞分析
根据数据包提示,得到漏洞形成的根本页面:
/system/modules/recruit/components/ContactController.php
漏洞形成的起始代码,在此页面的第169行
(图文来源:分析截图)
可以看到contactids是接收过来的数据,跟进此参数,跟进fetchAll方法,在代码的第60行,未对此参数进行安全过滤直接拼接到sql中,如下图:
(图文来源:分析截图)
继续跟进此代码,下图可以看到,对此参数无过滤直接拼接语句,然后再执行此条sql
(图文来源:分析截图)
此处即为sql语句查询,此处中的方法未进行过滤,形成sql注入漏洞。
告
知
本文涉及漏洞厂商已知晓并已做紧急处置;文章仅供学习交流不代表任何立场;如有侵权请联系微信:xier19960212,我们会第一时间处理.
END
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
