色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評(píng)論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會(huì)員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

悟空crm漏洞新用概述

工程師鄧生 ? 來源:Tide安全團(tuán)隊(duì) ? 作者:mazihan ? 2022-09-29 10:33 ? 次閱讀

概述

悟空軟件長期為企業(yè)提供企業(yè)管理軟件(CRM/HRM/OA/ERP等)的研發(fā)、實(shí)施、營銷、咨詢、培訓(xùn)、服務(wù)于一體的信息化服務(wù)。悟空軟件以高科技為起點(diǎn),以技術(shù)為核心、以完善的售后服務(wù)為后盾,秉承穩(wěn)固與發(fā)展、求實(shí)與創(chuàng)新的精神,已為國內(nèi)外上千家企業(yè)提供服務(wù)。

聽說很厲害,搜索了下存在的舊版本漏洞,看看是否還存在這樣的漏洞,舊漏洞如下:

9afb26a2-3f0e-11ed-9e49-dac502259ad0.png


按照已有的方向先排查一波。

安裝

下載完包后,解壓放到環(huán)境的根目錄。

訪問url

9c04cd78-3f0e-11ed-9e49-dac502259ad0.png


點(diǎn)擊同意,進(jìn)行下一步安裝。

9d61b50a-3f0e-11ed-9e49-dac502259ad0.png


安裝完成,使用安裝過程功的賬號(hào)密碼,登錄到工作臺(tái)。

9d86c278-3f0e-11ed-9e49-dac502259ad0.png

9db5223a-3f0e-11ed-9e49-dac502259ad0.png

sql注入

進(jìn)入到管理操作區(qū),找到項(xiàng)目管理,在所有請(qǐng)求中有一個(gè)myTask請(qǐng)求,

9dfef4e6-3f0e-11ed-9e49-dac502259ad0.png


使用burpsuite抓取到改請(qǐng)求,發(fā)送到重放模塊,接著修改構(gòu)建傳遞的參數(shù),第一個(gè)將url部分mytask修改成dateList,將body部分的{"search":"","sort_field":2,"completed_task":true,"owner_user_id":[],"time_type":"","label_id":[]}修改改成{"start_time":"123","stop_time":"12"}此時(shí)點(diǎn)擊一次go,看是否有正確相應(yīng)。

9e34722e-3f0e-11ed-9e49-dac502259ad0.png


接著,將請(qǐng)求保存到一個(gè)文本中,命名為post.txt。

接著上sqlmap跑一下這個(gè)請(qǐng)求包。

9e7d24c4-3f0e-11ed-9e49-dac502259ad0.png

代碼分析:

publicfunctiondateList()
{
$param=$this->param;
$taskModel=model('Task');
$userInfo=$this->userInfo;
$param['user_id']=$userInfo['id'];
$data=$taskModel->getDateList($param);
returnresultArray(['data'=>$data]);
}

此方法中的getDateList讀取數(shù)據(jù)庫,看方法邏輯:

publicfunctiongetDateList($param)
{
$start_time=$param['start_time'];
$stop_time=$param['stop_time'];
$user_id=$param['user_id'];
//$date_list=dateList($start_time,$stop_time,1);
$where=[];
$where['ishidden']=0;
$where['is_archive']=0;
$where['status']=1;
$where['pid']=0;
$str=','.$user_id.',';
$whereStr='(create_user_id='.$user_id.'or(owner_user_idlike"%'.$str.'%")or(main_user_id='.$user_id.'))';
$whereDate='(stop_time>0andstop_timebetween'.$start_time.'and'.$stop_time.')or(update_timebetween'.$start_time.'and'.$stop_time.')';
$list=db('task')
->where($where)
->where($whereStr)
->where($whereDate)
->field('task_id,name,priority,start_time,stop_time,priority,update_time')
->select();
return$list?:[];
}

再此方法中接受的參數(shù)有start_time、stop_time、user_id三個(gè)參數(shù),其實(shí)這三個(gè)參數(shù)都沒有加過濾,直接字符串拼接。所以都存在SQL注入點(diǎn),只不過sqlmap在start_time的時(shí)候,就跑出結(jié)果了,后面不驗(yàn)證罷了。

需要提醒的是,再最新版本中,這個(gè)url需要構(gòu)造出來,而不是點(diǎn)解控制臺(tái)中哪個(gè)url。項(xiàng)目方把這個(gè)功能模塊去掉了,但是代碼并沒有刪除。簡單驗(yàn)證如下圖:

9ea1da26-3f0e-11ed-9e49-dac502259ad0.png


所以,前臺(tái)的vue打包程序中,沒有這個(gè)路由了。只能通過后期的構(gòu)建,才能復(fù)現(xiàn)出這個(gè)漏洞。

任意文件上傳

在平臺(tái)所有文件上傳點(diǎn)上,選取上傳用戶圖像的功能點(diǎn)。

9f2c4ba2-3f0e-11ed-9e49-dac502259ad0.png


使用burpsuite抓包,如下:

9f4f7db6-3f0e-11ed-9e49-dac502259ad0.png

將用戶名和圖片內(nèi)容分別替換成php后綴的文件,和PHP代碼如:此時(shí)返回的數(shù)據(jù)是錯(cuò)誤的,不過沒關(guān)系,文件已經(jīng)生成了。如下圖所示:

9f9bd0ee-3f0e-11ed-9e49-dac502259ad0.png


嘗試了很多次,生的文件比較多。此時(shí)從瀏覽器上訪問任意一個(gè)文件路徑,效果如下:

9ffc8394-3f0e-11ed-9e49-dac502259ad0.png


當(dāng)寫入一句話的時(shí)候,也是可以用蟻劍連接的。

a0acab8e-3f0e-11ed-9e49-dac502259ad0.png

a1a49542-3f0e-11ed-9e49-dac502259ad0.png

a245e5c8-3f0e-11ed-9e49-dac502259ad0.png

a34ea68a-3f0e-11ed-9e49-dac502259ad0.png


代碼分析:通過抓包,訪問的url/index.php/admin/users/updateImg可以看到該方法如下:

publicfunctionupdateImg()
{
$fileModel=model('File');
$param=$this->param;
$userInfo=$this->userInfo;
//處理圖片
header('Access-Control-Allow-Origin:*');
header('Access-Control-Allow-Methods:POST');
header("Access-Control-Allow-Headers:Origin,X-Requested-With,Content-Type,Accept");
$param['file']=request()->file('file');

$resImg=$fileModel->updateByField($param['file'],'User',$param['id'],'img','thumb_img',150,150);
if(!$resImg){
returnresultArray(['error'=>$fileModel->getError()]);
}
returnresultArray(['data'=>'上傳成功']);
}

在方法里,有個(gè)updateByField的方法,這個(gè)是上傳文件的調(diào)用,方法體如下:

publicfunctionupdateByField($file,$module,$module_id,$field,$thumb_field='',$x='150',$y='150')
{
if(empty($module)||empty($module_id)||empty($field)){
$this->error='參數(shù)錯(cuò)誤';
returnfalse;
}

$info=$file->move(FILE_PATH.'public'.DS.'uploads');//驗(yàn)證規(guī)則
$fileInfo=$info->getInfo();//附件數(shù)據(jù)

在這個(gè)方法中,有個(gè)文件管理類file,其中的move方法做了文件的上傳操作,如下:

publicfunctionmove($path,$savename=true,$replace=true)
{
//文件上傳失敗,捕獲錯(cuò)誤代碼
if(!empty($this->info['error'])){
$this->error($this->info['error']);
returnfalse;
}

//檢測合法性
if(!$this->isValid()){
$this->error='uploadillegalfiles';
returnfalse;
}

//驗(yàn)證上傳
if(!$this->check()){
returnfalse;
}

$path=rtrim($path,DS).DS;
//文件保存命名規(guī)則
$saveName=$this->buildSaveName($savename);
$filename=$path.$saveName;

//檢測目錄
if(false===$this->checkPath(dirname($filename))){
returnfalse;
}

//不覆蓋同名文件
if(!$replace&&is_file($filename)){
$this->error=['hasthesamefilename:{:filename}',['filename'=>$filename]];
returnfalse;
}

/*移動(dòng)文件*/
if($this->isTest){
rename($this->filename,$filename);
}elseif(!move_uploaded_file($this->filename,$filename)){
$this->error='uploadwriteerror';
returnfalse;
}

//返回File對(duì)象實(shí)例
$file=newself($filename);
$file->setSaveName($saveName)->setUploadInfo($this->info);

return$file;
}

到此,方法體中的move_uploaded_file算是保存完了構(gòu)建的PHP文件,需要注意的是,這里的命名規(guī)則,代碼里用了時(shí)間的隨機(jī)數(shù),

switch($this->rule){
case'date':
$savename=date('Ymd').DS.md5(microtime(true));
break;

也就是說,前端可以猜到具體的文件夾,但是具體的文件名,需要后期做個(gè)碰撞的腳本,才可以獲取到。因?yàn)槭前缀袑徲?jì),這一步就暫時(shí)省略掉了。

總結(jié)

老版本種存在的問題,最新版本也是存在的,只不過需要后期數(shù)據(jù)的加工,沒有之前版本來的那么容易。所以做程序要用心,做安全更是如此。



審核編輯:劉清

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
  • SQL
    SQL
    +關(guān)注

    關(guān)注

    1

    文章

    762

    瀏覽量

    44123
  • CRM
    CRM
    +關(guān)注

    關(guān)注

    1

    文章

    145

    瀏覽量

    21122
  • 數(shù)據(jù)庫
    +關(guān)注

    關(guān)注

    7

    文章

    3798

    瀏覽量

    64370
  • HRM
    HRM
    +關(guān)注

    關(guān)注

    0

    文章

    10

    瀏覽量

    8980

原文標(biāo)題:悟空crm漏洞新用

文章出處:【微信號(hào):Tide安全團(tuán)隊(duì),微信公眾號(hào):Tide安全團(tuán)隊(duì)】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。

收藏 人收藏

    評(píng)論

    相關(guān)推薦

    《黑神話:悟空》狂吃硬件性能,存儲(chǔ)同步升級(jí)

    電子發(fā)燒友網(wǎng)報(bào)道(文/黃晶晶)8月20日,國產(chǎn)3A游戲《黑神話:悟空》于上午10時(shí)全球同步上線,并迅速成為Steam、WeGame等多個(gè)游戲平臺(tái)銷量榜首,更在美國、新加坡、泰國、加拿大、巴西等12個(gè)
    的頭像 發(fā)表于 08-25 01:00 ?5801次閱讀
    《黑神話:<b class='flag-5'>悟空</b>》狂吃硬件性能,存儲(chǔ)同步升級(jí)

    迅為RK3588開發(fā)板!黑神話悟空,啟動(dòng)?

    《黑神話:悟空》是一款西游背景的動(dòng)作角色扮演游戲,故事取材自中國古典神話小說《西游記》。玩家將扮演“天命人”,為了探尋昔日傳說的真相而踏上這條千難萬險(xiǎn)的西行之路。作為國內(nèi)首款3A大作,在20號(hào)發(fā)布
    發(fā)表于 09-23 10:48

    臺(tái)媒報(bào)道:華為云攜手贊奇科技?推出《黑神話:悟空》專屬云游戲服務(wù)

    奇超高清云工作站為此還推出了限時(shí)優(yōu)惠,新用戶可以以 29.9 元/天的價(jià)格體驗(yàn),嘗鮮價(jià)更是低至 1.2 元/小時(shí)。 據(jù)了解,華為云聯(lián)合贊奇科技推出《黑神話:悟空》專屬機(jī)型套餐,提供專業(yè)級(jí)顯卡、高性能磁盤及超大內(nèi)存等,幫助本
    的頭像 發(fā)表于 09-06 16:08 ?755次閱讀
    臺(tái)媒報(bào)道:華為云攜手贊奇科技?推出《黑神話:<b class='flag-5'>悟空</b>》專屬云游戲服務(wù)

    破界而生,智領(lǐng)未來——瑞芯微RK3588J_K7的“悟空之力”

    一夜之間,全球都是“天命人”。最近發(fā)布的《黑神話:悟空》掀起了一場全球范圍的“西天取經(jīng)”浪潮大家都被帥氣的“悟空”硬控了。在《黑神話:悟空》中展現(xiàn)的悟空無畏精神和勇敢姿態(tài)也寓意著AI技
    的頭像 發(fā)表于 09-03 08:06 ?423次閱讀
    破界而生,智領(lǐng)未來——瑞芯微RK3588J_K7的“<b class='flag-5'>悟空</b>之力”

    暢玩《黑神話:悟空》,除了“官配”硬件還需要注意這些......

    暢玩《黑神話:悟空》,除了“官配”硬件還需要注意這些......
    的頭像 發(fā)表于 08-30 14:58 ?433次閱讀
    暢玩《黑神話:<b class='flag-5'>悟空</b>》,除了“官配”硬件還需要注意這些......

    RK3588!黑神話悟空,啟動(dòng)?-迅為電子RK3588開發(fā)板

    RK3588!黑神話悟空,啟動(dòng)?-迅為電子RK3588開發(fā)板
    的頭像 發(fā)表于 08-30 14:13 ?610次閱讀
    RK3588!黑神話<b class='flag-5'>悟空</b>,啟動(dòng)?-迅為電子RK3588開發(fā)板

    黑神話悟空對(duì)服務(wù)器有什么要求

    《黑神話:悟空》對(duì)服務(wù)器的要求主要包括高分辨率和光追技術(shù)的支持,需要高性能的顯卡和處理器。Rak小編為您整理發(fā)布黑神話悟空對(duì)服務(wù)器有什么要求。
    的頭像 發(fā)表于 08-21 10:41 ?415次閱讀

    《黑神話:悟空》騰云駕霧來,技嘉RTX 4070 SUPER 悟空聯(lián)名顯卡 助力共繪西游神話新篇

    在古老的神話與現(xiàn)代的科技交織的邊界,《黑神話:悟空》這部承載著無數(shù)玩家夢想的國產(chǎn)游戲巨作,8月20日正式上線。 ? 在預(yù)告片放出之時(shí),《黑神話:悟空》就已經(jīng)是全球持續(xù)火熱的“頂流”,其每一幀畫面下
    的頭像 發(fā)表于 08-20 13:55 ?339次閱讀

    “態(tài)猴了”cp合體送福利,001號(hào)致態(tài)x《黑神話:悟空》聯(lián)名版SSD花落誰家?

    國產(chǎn)游戲大作《黑神話:悟空》即將全球上線,京東作為其全球官方合作伙伴,提前為游戲愛好者帶來了前所未有的驚喜,上門送出全球首單《黑神話:悟空》實(shí)體收藏版。 面對(duì)京東采銷送來的《黑神話:悟空》實(shí)體收藏版
    的頭像 發(fā)表于 08-19 15:19 ?440次閱讀

    《中新社》關(guān)注“本源悟空”境外訪問量美國排第一

    走進(jìn)本源量子計(jì)算機(jī)組裝與測試實(shí)驗(yàn)室,中國第三代自主超導(dǎo)量子計(jì)算機(jī)“本源悟空”正伴隨著機(jī)器運(yùn)行的嗡鳴聲,運(yùn)算來自世界各地的量子計(jì)算任務(wù)。據(jù)介紹,在“本源悟空”的境外訪問用
    的頭像 發(fā)表于 07-06 08:22 ?298次閱讀
    《中新社》關(guān)注“本源<b class='flag-5'>悟空</b>”境外訪問量美國排第一

    《科技日?qǐng)?bào)》英文版頭版頭條:“本源悟空”開啟中國量子計(jì)算新時(shí)代

    《科技日?qǐng)?bào)》英文版頭版頭條:“本源悟空”開啟中國量子計(jì)算新時(shí)代
    的頭像 發(fā)表于 05-19 08:22 ?625次閱讀
    《科技日?qǐng)?bào)》英文版頭版頭條:“本源<b class='flag-5'>悟空</b>”開啟中國量子計(jì)算新時(shí)代

    悟空派全志H3開發(fā)板做一個(gè)基于ROS系統(tǒng)的全向輪小車

    悟空派是一款開源的單板卡片電腦,新一代的Linux開發(fā)板,它可以運(yùn)行Linux、Ubuntu和 Debian 等操作系統(tǒng)。悟空派H3 Zero開發(fā)板使用全志H3 系統(tǒng)級(jí)芯片,同時(shí)擁有 256MB
    發(fā)表于 05-06 11:15

    “本源悟空”全球訪問量突破100萬,已完成14萬個(gè)運(yùn)算任務(wù)

    截至2月1日上午11時(shí),我國第三代自主超導(dǎo)量子計(jì)算機(jī)“本源悟空”已為全球94個(gè)國家和地區(qū)用戶成功完成142233個(gè)運(yùn)算任務(wù),全球遠(yuǎn)程訪問“悟空”人次已突破100萬。我國第三代自主超導(dǎo)量子計(jì)算機(jī)“本源
    的頭像 發(fā)表于 02-19 12:50 ?354次閱讀
    “本源<b class='flag-5'>悟空</b>”全球訪問量突破100萬,已完成14萬個(gè)運(yùn)算任務(wù)

    Salesforce x阿里云,打造“中國口味”的CRM

    打造“中國口味”的CRM
    的頭像 發(fā)表于 01-18 15:11 ?406次閱讀

    中國戰(zhàn)略支援部隊(duì)公號(hào)關(guān)注超導(dǎo)量子計(jì)算機(jī)“本源悟空”上線運(yùn)行

    1月6日,中國第三代自主超導(dǎo)量子計(jì)算機(jī)“本源悟空”正式上線運(yùn)行。據(jù)報(bào)道,該量子計(jì)算機(jī)搭載72位自主超導(dǎo)量子芯片“悟空芯”,是目前中國最先進(jìn)的可編程、可交付超導(dǎo)量子計(jì)算機(jī)。“悟空”這一名字,則是取自中國傳統(tǒng)文化中的神話人物孫
    的頭像 發(fā)表于 01-12 08:21 ?566次閱讀
    中國戰(zhàn)略支援部隊(duì)公號(hào)關(guān)注超導(dǎo)量子計(jì)算機(jī)“本源<b class='flag-5'>悟空</b>”上線運(yùn)行
    主站蜘蛛池模板: s8sp视频高清在线播放| SM高H黄暴NP辣H调教性奴| 国产成人无码一区AV在线观看| 久久夜色精品国产亚州AV卜| 四虎影视永久无码精品| 97人妻久久久精品系列A片| 国产免费69成人精品视频| 青青伊人网| 6080yy 久久 亚洲 日本| 999国产高清在线精品| 九九久久精品| 校花娇喘呻吟校长陈若雪视频| yellow免费观看在线| 琉璃美人煞在线观看| 亚洲人成色777777老人头| 二级片免费看| 欧美性狂猛bbbbbbxxxx| 91精品乱码一区二区三区| 亚洲AV久久无码高潮喷水| SORA是什么意思| 男男免费看| 总裁呻吟双腿大开男男H| 精品免费久久久久久影院 | 欧美xxxxxbb| 岳打开双腿开始配合日韩视频| 黑色丝袜在线观看| 午夜免费福利小电影| 国产成人无码一区AV在线观看 | 2020国产成人精品视频人| 极品少妇粉嫩小泬啪啪AV| 小xav导航| 51久久成人国产精品麻豆| 久久大香萑太香蕉av| 亚洲中文在线偷拍| 火影忍者高清无码黄漫| 亚洲欧美成人综合| 狠狠色丁香久久婷婷综合_中| 亚洲精品www久久久久久| 国内精品人妻无码久久久影院蜜桃| 晚夜免费禁用十大亏亏| 国产精品久久久久a影院|