泛微E-office 同一文件多处sql注射/用户信息泄露(ROOT SHELL)

文章目录

漏洞作者: menmen519

详细说明:

看了wooyun个大牛发的这个产品的漏洞,感觉版本都过低,这里我发一个8.5的版本,里面新增了webservice的相关操作 下来看代码

webservice/eoffice.wsdl.php:

看看里面的代码:

 

1.这个文件内容,直到最后也没有任何auth控制,也就是说我们可以通过未授权访问了

2.传递参数HTTP_RAW_POST_DATA 这个不走gpc

为了方便期间,我这里偷个懒,

对http://eoffice.sccm.cn/attachment/mysql_log.sql

这个站点mysql配置了抓取

072357509505212ce7519bae7032b7df9adcb596[1]

测试完了,删除即可

然后我再次偷懒,下载了wsdigger软件,进行webservice的wsdl文件解析

0723593778eac7434dedd8c32cb8791b3a9d72ea[1]

首先我们看信息泄露:

0800022466bef079373eb3730b51c558257c6e7a[1]

080002327593ba3847729fdd315c6cec93788248[1]

08000242a2aa5232fc65987b113750b3b7f9117f[1]

然后我们看sql注射,这里我举两个例子就可以了,因为这个里面的sql语句都带有\r\n\t\t\t\做换行,这种的注释,直接/*就可以做到,其他的都不管用

先看UserLogin 这个借口:

里面的 userAccount 为

admin’ union select 1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,10,1,2,3,4,5,6,7,8,9,10,10,1,2,3,4,5,6,7,8,9,10,10,1,2,3,4,5,6,7,8,9,10,1,’wooyun’ into outfile ‘D:/eoffice/webroot/attachment/wooyun.php’#

080026463320d05372545adf3a4f337e0237ab84[1]

08002746b1da122c2a92929032f8c47f69cede86[1]

访问:

http://eoffice.sccm.cn/attachment/wooyun.php

08002820775d1ecfa15b71651a4792802fee34a0[1]

下来看看 第二种sql注射:

测试createFile这个接口:

080030569799515b48fe7799eaf21da00a1c464d[1]

当你点击invoke时候就会发成延迟,我们抓取到的sql语句为:

08003222dce5dab6c090039730c9d55c28c22879[1]

ok 统计一下有10处,案例不多举例子了

http://oa.sccm.cn//webservice/eoffice.wsdl.php?wsdl

http://oa.vma.cn/webservice/eoffice.wsdl.php?wsdl

http://eoffice.sccm.cn/webservice/eoffice.wsdl.php?wsdl

http://eoffice8.weaver.cn:8028/webservice/eoffice.wsdl.php?wsdl

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录