0x01.技术文章仅供参考学习,请勿使用本文中所提供的任何技术信息或代码工具进行非法测试和违法行为。若使用者利用本文中技术信息或代码工具对任何计算机系统造成的任何直接或者间接的后果及损失,均由使用者本人负责。本文所提供的技术信息或代码工具仅供于学习,一切不良后果与文章作者无关。使用者应该遵守法律法规,并尊重他人的合法权益。
0x02.漏洞描述
大华智慧园区综合管理平台存在SQL注入漏洞,攻击者可利用该漏洞执行SQL语句,获取系统数据库敏感信息等等。(是0day?还是1day?其实都差不多也没见什么地方爆出来)
0x03.指纹信息
body="/WPMS/asset/lib/normalize.css"
0x04.漏洞分析
XXE常见的函数:
DocumentBuilderDocumentBuilderFactoryXMLStreamReaderXMLInputFactorySAXBuilderXMLOutputteroracle.xml.parser.v2.XMLParserjavax.xml.parsers.SAXParserorg.dom4j.io.SAXReaderorg.dom4j.DocumentHelperorg.xml.sax.XMLReaderjavax.xml.transform.sax.SAXSourcejavax.xml.transform.TransformerFactoryjavax.xml.transform.sax.SAXTransformerFactoryjavax.xml.validation.SchemaFactoryjavax.xml.validation.Validatorjavax.xml.bind.Unmarshallerjavax.xml.xpath.XPathExpressionjava.beans.XMLDecoderwsdlservices
之前文章写过万户oa的xxe,其实全局搜索常见的xxe的一些函数的话没啥用(只是我个人感觉)因为你审计到了xxe也只能当做ssrf来打,可能可以读文件但是想rce确实很难,快捷的方法就是全局搜索/services,/webservices或者wsdl这样。现在最常见的就soap xxe也就是一些常见的services接口这样。
查看源码的web.xml看看接口都有哪些发现在web.xml中的services接口可以访问,那就直接去构造呗结合bp上的wsdl插件,简单又省事。
0x05.漏洞复现
直接跑sqlmap就行,但是这也有个弊端就是如果网站不开放services接口的话这个注入就打不成功了。
为了方便批量检测写了一个nuclei插件,可以看到绝大部分是能打的可能有些services接口访问不到,害怕进小黑屋直接打重码。
批量检测脚本就不放出来了nuclei脚本也比较好写或者大家自己写个python脚本也行。记得关注本公众号哦后续还会发布一些审计到的漏洞或者是一些在野漏洞,外网未暴露的漏洞。
想要获取漏洞payload的可以关注公众号回复“大华”获取。
原文始发于微信公众号(Kokoxca安全):大华智慧园区综合管理平台SQL注入
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论