环境配置
l 系统:Winserver2019
l 数据库:MySQL5.7.26
l JDK:java 1.8.0_371
l 复现版本:ecology9_V10.57
源码分析
在全增量补丁包
WEB-INF/myclasses/weaver/security/rules/ruleImp/
SecurityRuleforMobileChangeInfo.class中:
第27行的if语句中:首先对路径是否为
/mobile/plugin/changeuserinfo.jsp做了判断,
第35行对type类型做判断,
如果type=getLoginid,就会拦截后续操作。
因此确定漏洞触发点 changeUserInfo.jsp
再看到第109行,当type=getLoginid时,进入if语句
在第112行,在表hrmresource里进行SQL查询(mobile是用户可控的参数)如果查询结果只有一条,在123行就会查询loginid,然后输出根据mobile查询到的loginid
漏洞复现
在未登陆的状态下访问,返回查询的手机号对应的loginid
分享文章,私信获取相关代码学习资料
原文始发于微信公众号(刑天攻防实验室):泛微OA changeUserInfo.jsp 漏洞的分析及复现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论