### 简要描述:
盈世信息科技OA系统SQL注入
### 详细说明:
http://218.107.63.241:82是OA系统
/interface/go.php没有过滤APP_UNIT参数,导致了SQL注入漏洞
$APP_UNIT = urldecode( $APP_UNIT );
$query = "select MEMBER_ID from CONNECT_CONFIG where MEMBER_NAME='".$APP_UNIT."'";
虽然开启了magic_quotes_gpc,单引号会被转义,但是因为他会先解码一遍,就可以用%2527来绕过GPC
### 漏洞证明:
用SQLMAP注入出数据信息
web application technology: Apache
back-end DBMS: MySQL 5.0
available databases [8]:
[*] BUS
[*] crscell
[*] information_schema
[*] mysql
[*] performance_schema
[*] TD_OA
[*] TD_OA_ARCHIVE
[*] TRAIN
虽然可以抓到很多人的密码hash,md5(unix)类型的,但是一个都破解不了,突然发现admin是用动态口令登录的。
研究了一下OA的代码,发现是可以绕过的,只要获取到admin帐号的key,就可以自己生成动态密码
而它刚好在数据库的secure_key表中,他有两个字段,KEY_SN和KEY_INFO,user表也有一个字段SECURE_KEY_SN,这样就找到了admin帐号的KEY_INFO信息。
利用这个key就可以生成动态密码了。
[<img src="https://images.seebug.org/upload/201405/18141546730c3192025c2838f00386e9b5b4765d.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/18141546730c3192025c2838f00386e9b5b4765d.jpg)
上面任意一个动态密码都可以登录
[<img src="https://images.seebug.org/upload/201405/1814162329fe25b60bafc4e729a2a323e35a1b57.jpg" alt="ok.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1814162329fe25b60bafc4e729a2a323e35a1b57.jpg)
登录成功
[<img src="https://images.seebug.org/upload/201405/18141754cf71114505ee91b27934103b074ac84b.jpg" alt="shell.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/18141754cf71114505ee91b27934103b074ac84b.jpg)
最后再利用wooyun-2014-061251这个漏洞,成功拿到shell,因为是apache,直接系统权限。
京公网安备 11010502034610号
暂无评论