01阅读须知
此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面
02漏洞背景
某综合管理云平台是一个集成化的教育资源管理平台,旨在为教育机构、老师、学生和家长提供全面的教育资源和教学服务。该平台采用BS架构框架,将系统功能的核心部分集中到服务器上,简化了系统的开发、维护和使用。通过Web Server同数据库进行数据交互,实现了资源的在线浏览、下载、分享和使用。该系统的Web***.as**接口未做安全过滤存在SQL注入漏洞。
03漏洞复现
近日外部公开渠道爆出该系统存在堆叠注入漏洞,参数schoolloginname存在SQL注入漏洞,具体的数据包如下所示。
POST /Web***.as** HTTP/1.1
Host:
Content-Type: text/xml; charset=utf-8
Content-Length: length
SOAPAction: "Web***/Li***" <?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Body>
<LibraryCloud xmlns="WebCloud">
<str>{"cmd":"***","schoolloginname":"1***","schoolpwd":"1"}</str>
<files>base64Binary</files>
</LibraryCloud>
</soap:Body>
</soap:Envelope>
堆叠查询使用 WAITFOR DELAY 语句,测试注入点是否可以执行多个SQL查询,返回后台数据库版本是 Microsoft SQL Server 2016,另外还支持UNION注入,如下图所示。
04漏洞分析
代码中首先使用JsonConvert.DeserializeObject将JSON字符串str反序列化为一个Hashtable对象,具体代码如下所示。
Hashtable hashtable = JsonConvert.DeserializeObject<Hashtable>(str);
接着,获取hashtable中的cmd字段,并将其转换为字符串,存储在变量text中,具体如下所示。
Hashtable hashtable2 = new Hashtable();
hashtable2["cmd"] = text;
hashtable2["code"] = 0;
hashtable2["msg"] = "错误";
如果两个字段都不为空,则执行一个SQL查询,查询条件为schoolloginname和schoolpwd字段的值。DBHelp.DigestString方法可能对密码进行哈希处理,具体如下所示。
DataTable table = dBHelp.getTable("select * from school where loginname='" + hashtable["schoolloginname"] + "' and schoolpwd='" + DBHelp.DigestString(hashtable["schoolpwd"].ToString()) + "'");
if (table.Rows.Count == 0)
{
return "{\"cmd\":\"" + text + "\",\"code\":\"0\",\"msg\":\"用户名密码错误\"}";
}
05.NET安全星球
为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术,定位于高质量安全攻防星球社区,也得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.NET安全高质量的向前发展。中国.NET安全领域最知名、最活跃的技术知识库之一,从.NET Framework到.NET Core,从Web应用到PC端软件应用,无论您是初学者还是经验丰富的开发人员,都能在这里找到对应的安全指南和最佳实践。
20+个专题栏目涵盖了点、线、面、体等知识面,助力师傅们快速成长!其中主题包括.NET Tricks、漏洞分析、内存马、代码审计、预编译、反序列化、webshell免杀、命令执行、C#工具库等等。
我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。
