Weaver-Ecology-Oa-Checkserver-Sqli Analyze

type

status

date

slug

summary

前言

博客好久没更新了，主要是我一些东西都记录在notion里了；博客的作用基本可有可无，因为一些东西还是不大方便公开嘛~，毕竟学的都是别人分享给我的。

想着还是要除除草，恰好前段时间泛微的ecology不是出了个注入嘛（一堆厂商发布预警公告，其实我感觉这洞是有坑的...），想着来分析一手看看，但是是找别人要的Poc，又不方便公开；后来xray出了个Poc，就有理由了哈哈

https://github.com/chaitin/xray/releases/tag/1.9.8，更新内容这块写了如何使用这条poc来检测

环境搭建

可以找一些网上的文章来进行搭建，因为别人给我的Poc是sleep来验证的所以我就搭的Mysql的环境

其中一些坑点我也不在这一一赘述了

Poc

其实很简单，访问这条/mobile/plugin/CheckServer.jsp?type=mobileSetting uri，response是{"error":"system error"}

漏洞分析

泛微提供了更新补丁包，可以通过diff两个更新包来寻找漏洞，因为他会记录利用（访问漏洞页面比如出现单引号啥的进行记录），这也大大方便了我们安全人员进行漏洞分析，当然更方便厂商人员进行定位攻击者

我就没有下更新包进行diff，因为之前就拿到Poc了。

补丁Diff，就是《ecology 9 SQL 注入漏洞分析》这篇文章中的手法，可以看到文章图片中，访问存在漏洞文件的话，参数是触发注入的Poc 他就进行写入日志记录漏洞利用

直接定位到CheckServer.jsp里，找参数关键字type和mobileSetting

可以看到第13行，先将request请求封装为了FileUpload类；后面提取type参数，比如如果type=="mobileSetting"就调用PluginServiceImpl.syncMobileSetting方法

所以我们起码有三个参数type settings timestamp

看下PluginServiceImpl.syncMobileSetting方法

883行：var1也就是settings参数的值咩，然后调用JSONArray.fromObject，将我们传入的参数初始化为JSONArray类；所以大致可以判断出我们的settings参数就是一个json数组

884行：转换为List

887：判断settings是否为空，不为空就进行if内部；然后将var6 搞个迭代器，为var8

892开始：就进入while循环，从var8从判断是否有值，有就接着进入；然后var9就是var8中的值，进行提取，参数有scope module这俩都转换为了Int 故大概率不会出现注入；重点关注下面的setting modulename include orasc

接着看下面的代码

其实这里没有啥sql操作的函数，除了935行的（没截上）下面就是

乍一眼看其实就看到了调用saveMobileDocSetting方法（当时就心想不会是insert注入吧...）

902-912行：先判断了var11，就是settings里的module参数；不是1, 7, 8, 9, 10 就会进入这个if分支；下面还有一个if 我们要让他不成立 !=2 为true，所以我们传

"module":"2" 就可以了，直接跟进这个saveMobileDocSetting方法，看下var1 var2 var3，传入的分别是settings里的 scope setting modulename

首先951行判断了我们的scope 要大于0；var2也就是setting 不为空，isBlank取反；

下面映入眼帘的就是仨sql语句（var2为空也就是settings里的 setting参数是空的），这里有可能就会出现insert注入因为var3是我们可控的嘛 modulename；但是不会这么容易因为有泛微的全局检测（SqlInjectionRule 应该是这个，我没有去跟如果不对请大佬赐教小弟，主要不知道这个检测是在filter的时候还是executeSql的时候进行检测哈哈之前看的时候忘跟了）

然后我们接着下面找 sql语句如果找到疑似的sql注入再进行看代码逻辑