记一次从逆向小程序到SQL注入的儿童学习系统的渗透/金蝶eas-extweb任意文件读取(1day)-漏洞挖掘

0X01 前言

在某次攻防演练，某家做儿童学习系统的公司 给的资产只有ip，ip上只有官网。无法获取到什么有用的信息。

末尾领取资料，资源

0X02 漏洞复现

发现目标单位存在一个微信小程序，从微信小程序入手

逆小程序，在代码中搜索http，得到小程序使用的目标站点服务信息

在webview.wxml中得到一个url，访问是一个教师等用户的登录界面

http://aaa.bbb.com/ccc/dddder/login

        然后在js中发现账号密码写在js的注释里了。

尝试登录发现登录不上去，后面fuzz到管理平台的地址

http://aaa.bbb.com/ccc/admin/login

        拿js注释里的用户账号密码成功登录，是web平台超级用户权限 //太喜欢这种开发了，账号密码写在js里，没这个js我还真打不进去

然后发现查询用户信息的post数据请求的参数是这样子的

{"ddddd":"eeee like'%test%'"}

看着就不对，构造请求，闭合，sql注入一枚，丢sqlmap dba权限，无回显，延时注入

延时注入嘛，正常跑数据慢死了，可以直接跑数据库的账号密码hash，然后拿到cmd5上去解

sqlmap -r 1.txt --batch --random-agent  --users --passwords --hex

然后就是cmd5解密，居然解出了root密码，纯数字。

后面就是登录数据库，翻翻数据库，发现其他站点的links，拿着里面的账号密码登上去，文件上传绕过。都不需要绕过，就没什么好说的

主要的思路还是在于从小程序中获取到突破，当然，账号密码在js中感谢开发

0X04 修复建议

对JS文件的密码进行隐藏。

0X05 金蝶eas-extweb-任意文件读取漏洞

某蝶EAS（Enterprise Application Suite）是金某集团开发的一套企业级应用软件解决方案。它是一款集成化的企业管理软件，旨在帮助企业实现业务流程的数字化、自动化和优化。金蝶EAS提供了多个功能模块，涵盖了企业的各个方面，包括财务管理、人力资源管理、供应链管理、生产制造管理、销售与客户关系管理、项目管理等。这些模块可以根据企业的需求进行灵活的配置和定制，以满足不同行业和规模企业的管理需求。

某蝶EAS平台某接口存在任意文件读取漏洞，攻击者可利用该漏洞进一步漏洞利用。

0X06 Fofa语法

app="Kingdee-EAS"

0X07 漏洞复现

POC(完整POC可加入星球获取，内部不定时推送未公开的1/0day)

GET /xxxx/xxxx/xxx/a/x/xxx/xxxx-xxxx HTTP/2Host: com.xx-test.comCookie: EasAuthPattern=BaseDB; flag=true; EASSESSIONID=-1024213082; NAPRoutID=-1024213082; JSESSIONID=wKh_8RrqZZSoCFlQ_OefkEGWn0lx8spFc6MASec-Ch-Ua: "Not_A Brand";v="8", "Chromium";v="120", "Google Chrome";v="120"Sec-Ch-Ua-Mobile: ?0User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36Sec-Ch-Ua-Platform: "Windows"Accept: */*Sec-Fetch-Site: same-originSec-Fetch-Mode: no-corsSec-Fetch-Dest: scriptReferer: https://com.test.comAccept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9

0X08 修复建议

官网下载最新安全补丁：

https://www.kingdee.com/