### 简要描述: 注入直接危及到主库,多数是sa权限 ### 详细说明: 管理员情况下的注入:http://www.e-cology.cn/systeminfo/sysadmin/sysadminEdit.jsp?id=1 普通用户注入:http://127.0.0.1//cowork/CoworkLogView.jsp?id=151 普通用户注入地址:http://127.0.0.1/system/basedata/basedata_role.jsp?roleid=32 普通用户注入地址:http://127.0.0.1//system/basedata/basedata_hrm.jsp?resourceid=3 为了不涉及公司信息,除官网demo以外,其余url打码 首先是官网demo测试 [<img src="https://images.seebug.org/upload/201407/22111301c55deec634944dc5761e0e315708eac5.jpg" alt="QQ图片20140722111247.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/22111301c55deec634944dc5761e0e315708eac5.jpg) [<img src="https://images.seebug.org/upload/201407/2211132427dca2019ddbff4c711987b58eca9fba.jpg" alt="QQ图片20140722111315.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/2211132427dca2019ddbff4c711987b58eca9fba.jpg) 不手工测试了,我们直接丢到sqlmap 因为需要Cookie,所以用文本来注入 [<img...
### 简要描述: 注入直接危及到主库,多数是sa权限 ### 详细说明: 管理员情况下的注入:http://www.e-cology.cn/systeminfo/sysadmin/sysadminEdit.jsp?id=1 普通用户注入:http://127.0.0.1//cowork/CoworkLogView.jsp?id=151 普通用户注入地址:http://127.0.0.1/system/basedata/basedata_role.jsp?roleid=32 普通用户注入地址:http://127.0.0.1//system/basedata/basedata_hrm.jsp?resourceid=3 为了不涉及公司信息,除官网demo以外,其余url打码 首先是官网demo测试 [<img src="https://images.seebug.org/upload/201407/22111301c55deec634944dc5761e0e315708eac5.jpg" alt="QQ图片20140722111247.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/22111301c55deec634944dc5761e0e315708eac5.jpg) [<img src="https://images.seebug.org/upload/201407/2211132427dca2019ddbff4c711987b58eca9fba.jpg" alt="QQ图片20140722111315.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/2211132427dca2019ddbff4c711987b58eca9fba.jpg) 不手工测试了,我们直接丢到sqlmap 因为需要Cookie,所以用文本来注入 [<img src="https://images.seebug.org/upload/201407/221114342e47b2caa390a59ff68b58545f1aba76.jpg" alt="QQ图片20140722111407.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/221114342e47b2caa390a59ff68b58545f1aba76.jpg) [<img src="https://images.seebug.org/upload/201407/22111456ebdf43b150229605eac0276b4d16c539.jpg" alt="QQ图片20140722111448.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/22111456ebdf43b150229605eac0276b4d16c539.jpg) [<img src="https://images.seebug.org/upload/201407/22111528169f8d5621d8fc1b72c4edaf24099712.jpg" alt="QQ图片20140722111520.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/22111528169f8d5621d8fc1b72c4edaf24099712.jpg) 数据库已经列出来了 dba权限 [<img src="https://images.seebug.org/upload/201407/2211170381bb109c0d6a1145bdd022cfa6082734.jpg" alt="QQ图片20140722111647.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/2211170381bb109c0d6a1145bdd022cfa6082734.jpg) 再来就是普通用户的注入 在找实例中找到一处网站有弱口令,登录之后开始测试 and 1=1显示正常 [<img src="https://images.seebug.org/upload/201407/221120133f1f1c0dbaa9bdc40bb274636f9abd25.jpg" alt="QQ图片20140722111945.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/221120133f1f1c0dbaa9bdc40bb274636f9abd25.jpg) and 1=2报错 [<img src="https://images.seebug.org/upload/201407/22112130dde3d447d856d094cc744beab08ca491.jpg" alt="QQ图片20140722112118.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/22112130dde3d447d856d094cc744beab08ca491.jpg) 看其他几处 [<img src="https://images.seebug.org/upload/201407/221123107836023b6daf30ea084dfb8645bfb95e.jpg" alt="QQ图片20140722112227.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/221123107836023b6daf30ea084dfb8645bfb95e.jpg) [<img src="https://images.seebug.org/upload/201407/221123162a070e02701028f22200bb9eb1ac3a56.jpg" alt="QQ图片20140722112250.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/221123162a070e02701028f22200bb9eb1ac3a56.jpg) [<img src="https://images.seebug.org/upload/201407/22112430584e66cc88d2e76be961cfd893c7f45f.jpg" alt="QQ图片20140722112419.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/22112430584e66cc88d2e76be961cfd893c7f45f.jpg) [<img src="https://images.seebug.org/upload/201407/22112507942d95a1fdf0e0a2dfcfdfcf0b486db3.jpg" alt="QQ图片20140722112457.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/22112507942d95a1fdf0e0a2dfcfdfcf0b486db3.jpg) 之后用sqlmap对其中一个注入点进行测试 [<img src="https://images.seebug.org/upload/201407/22112645535ec3deff84e83cb16dfe707fd2a805.jpg" alt="QQ图片20140722112634.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/22112645535ec3deff84e83cb16dfe707fd2a805.jpg) 结果如下。。。 ----看官网说好像很多大的厂商都用他的系统,像什么tcl啊,华为等等,实例难找,但我相信用户数目一定不小! 给用户数目巨大,也请注意安全 [<img src="https://images.seebug.org/upload/201407/2211285301da53b109c9bbc8cc46aebbd0fc4961.jpg" alt="QQ图片20140722112830.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/2211285301da53b109c9bbc8cc46aebbd0fc4961.jpg) 通用性(因无法进入后台,放弃测试,但是系统是一样的) http://oa.udata.cn:88/login/Login.jsp http://oa.ahaxfz.com/login/Login.jsp http://oa.chinakingking.com/login/Login.jsp http://oa.ewell.cc:8080/login/Login.jsp ### 漏洞证明: [<img src="https://images.seebug.org/upload/201407/22111528169f8d5621d8fc1b72c4edaf24099712.jpg" alt="QQ图片20140722111520.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/22111528169f8d5621d8fc1b72c4edaf24099712.jpg)