皓月当空,明镜高悬
今天是1day细节分享时间。
1
github上的常规poc是:
/upgrade/detail.jsp/login/LoginSSO.jsp?id=1%20UNION%20SELECT%20password%20as%20id%20from%20HrmResourceManager HTTP/1.1Host: 127.0.0.1:7443User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML,like Gecko)Accept-Encoding: gzip, deflateConnection: close
这里可以看到存在一个/upgrade/detail.jsp,后面的login/LoginSSO.jsp在本届中不进行分析。
首先还是看一下是为什么存在这个漏洞。
首先有一个前提需要了解就是此oa默认是通过Resin部署的,所以它的路由和Tomcat这些中间件是不一样的,默认的路径是WebApp所有的内容,不存在www或者webapps一说。
那么我们首先分析一下路由,既然访问的是detail.jsp那么有两种方式可以找到,首先访问jsp的话肯定是可以找到一个源文件的,直接搜detail.jsp即可。
还有一种方法是直接通过访问路径去就是WebApp下面的/upgrade路径,也可以找到这个文件,在这个文件夹下面就可以找到这个/upgrade/detail.jsp文件,如下图所示:
看一下文件内的内容,可以看通过id进行传参,保存为id
request.getParameter方法在获取的时候是不会区分到底是get还是post请求的传参,这里是都可以解析的。
因为这个版本的代码已经是新的了,所以这个sql注入的漏洞已经修复了,这里已经通过RecordSet.executeQuery进行预编译处理,所以无法进行利用。那么这个漏洞的利用版本就可以锁定在2021年以前的oa版本。当然也可以直接利用试试。
以上。
【严重漏洞】【poc公开】Cacti<1.2.25 reports_user.php SQL注入漏洞
【严重漏洞】Apache Superset 任意文件写入漏洞
【严重漏洞】 Apache FreeRDP 出现多个cve漏洞
【高危漏洞】【未修复】EduSoho企培开源版存在未授权访问漏洞
【严重漏洞】CVE-2023-34968 Samba信息泄露漏洞
原文始发于微信公众号(皓月当空w):【1day细节】某OA detail sql注入
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论