色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評(píng)論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會(huì)員中心
电子发烧友
开通电子发烧友VIP会员 尊享10大特权
海量资料免费下载
精品直播免费看
优质内容免费畅学
课程9折专享价
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

悟空crm漏洞新用概述

工程師鄧生 ? 來(lái)源:Tide安全團(tuán)隊(duì) ? 作者:mazihan ? 2022-09-29 10:33 ? 次閱讀
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

概述

悟空軟件長(zhǎng)期為企業(yè)提供企業(yè)管理軟件(CRM/HRM/OA/ERP等)的研發(fā)、實(shí)施、營(yíng)銷、咨詢、培訓(xùn)、服務(wù)于一體的信息化服務(wù)。悟空軟件以高科技為起點(diǎn),以技術(shù)為核心、以完善的售后服務(wù)為后盾,秉承穩(wěn)固與發(fā)展、求實(shí)與創(chuàng)新的精神,已為國(guó)內(nèi)外上千家企業(yè)提供服務(wù)。

聽說(shuō)很厲害,搜索了下存在的舊版本漏洞,看看是否還存在這樣的漏洞,舊漏洞如下:

9afb26a2-3f0e-11ed-9e49-dac502259ad0.png


按照已有的方向先排查一波。

安裝

下載完包后,解壓放到環(huán)境的根目錄。

訪問url

9c04cd78-3f0e-11ed-9e49-dac502259ad0.png


點(diǎn)擊同意,進(jìn)行下一步安裝。

9d61b50a-3f0e-11ed-9e49-dac502259ad0.png


安裝完成,使用安裝過(guò)程功的賬號(hào)密碼,登錄到工作臺(tái)。

9d86c278-3f0e-11ed-9e49-dac502259ad0.png

9db5223a-3f0e-11ed-9e49-dac502259ad0.png

sql注入

進(jìn)入到管理操作區(qū),找到項(xiàng)目管理,在所有請(qǐng)求中有一個(gè)myTask請(qǐng)求,

9dfef4e6-3f0e-11ed-9e49-dac502259ad0.png


使用burpsuite抓取到改請(qǐng)求,發(fā)送到重放模塊,接著修改構(gòu)建傳遞的參數(shù),第一個(gè)將url部分mytask修改成dateList,將body部分的{"search":"","sort_field":2,"completed_task":true,"owner_user_id":[],"time_type":"","label_id":[]}修改改成{"start_time":"123","stop_time":"12"}此時(shí)點(diǎn)擊一次go,看是否有正確相應(yīng)。

9e34722e-3f0e-11ed-9e49-dac502259ad0.png


接著,將請(qǐng)求保存到一個(gè)文本中,命名為post.txt。

接著上sqlmap跑一下這個(gè)請(qǐng)求包。

9e7d24c4-3f0e-11ed-9e49-dac502259ad0.png

代碼分析:

publicfunctiondateList()
{
$param=$this->param;
$taskModel=model('Task');
$userInfo=$this->userInfo;
$param['user_id']=$userInfo['id'];
$data=$taskModel->getDateList($param);
returnresultArray(['data'=>$data]);
}

此方法中的getDateList讀取數(shù)據(jù)庫(kù),看方法邏輯:

publicfunctiongetDateList($param)
{
$start_time=$param['start_time'];
$stop_time=$param['stop_time'];
$user_id=$param['user_id'];
//$date_list=dateList($start_time,$stop_time,1);
$where=[];
$where['ishidden']=0;
$where['is_archive']=0;
$where['status']=1;
$where['pid']=0;
$str=','.$user_id.',';
$whereStr='(create_user_id='.$user_id.'or(owner_user_idlike"%'.$str.'%")or(main_user_id='.$user_id.'))';
$whereDate='(stop_time>0andstop_timebetween'.$start_time.'and'.$stop_time.')or(update_timebetween'.$start_time.'and'.$stop_time.')';
$list=db('task')
->where($where)
->where($whereStr)
->where($whereDate)
->field('task_id,name,priority,start_time,stop_time,priority,update_time')
->select();
return$list?:[];
}

再此方法中接受的參數(shù)有start_time、stop_time、user_id三個(gè)參數(shù),其實(shí)這三個(gè)參數(shù)都沒有加過(guò)濾,直接字符串拼接。所以都存在SQL注入點(diǎn),只不過(guò)sqlmap在start_time的時(shí)候,就跑出結(jié)果了,后面不驗(yàn)證罷了。

需要提醒的是,再最新版本中,這個(gè)url需要構(gòu)造出來(lái),而不是點(diǎn)解控制臺(tái)中哪個(gè)url。項(xiàng)目方把這個(gè)功能模塊去掉了,但是代碼并沒有刪除。簡(jiǎn)單驗(yàn)證如下圖:

9ea1da26-3f0e-11ed-9e49-dac502259ad0.png


所以,前臺(tái)的vue打包程序中,沒有這個(gè)路由了。只能通過(guò)后期的構(gòu)建,才能復(fù)現(xiàn)出這個(gè)漏洞。

任意文件上傳

在平臺(tái)所有文件上傳點(diǎn)上,選取上傳用戶圖像的功能點(diǎn)。

9f2c4ba2-3f0e-11ed-9e49-dac502259ad0.png


使用burpsuite抓包,如下:

9f4f7db6-3f0e-11ed-9e49-dac502259ad0.png

將用戶名和圖片內(nèi)容分別替換成php后綴的文件,和PHP代碼如:此時(shí)返回的數(shù)據(jù)是錯(cuò)誤的,不過(guò)沒關(guān)系,文件已經(jīng)生成了。如下圖所示:

9f9bd0ee-3f0e-11ed-9e49-dac502259ad0.png


嘗試了很多次,生的文件比較多。此時(shí)從瀏覽器上訪問任意一個(gè)文件路徑,效果如下:

9ffc8394-3f0e-11ed-9e49-dac502259ad0.png


當(dāng)寫入一句話的時(shí)候,也是可以用蟻劍連接的。

a0acab8e-3f0e-11ed-9e49-dac502259ad0.png

a1a49542-3f0e-11ed-9e49-dac502259ad0.png

a245e5c8-3f0e-11ed-9e49-dac502259ad0.png

a34ea68a-3f0e-11ed-9e49-dac502259ad0.png


代碼分析:通過(guò)抓包,訪問的url/index.php/admin/users/updateImg可以看到該方法如下:

publicfunctionupdateImg()
{
$fileModel=model('File');
$param=$this->param;
$userInfo=$this->userInfo;
//處理圖片
header('Access-Control-Allow-Origin:*');
header('Access-Control-Allow-Methods:POST');
header("Access-Control-Allow-Headers:Origin,X-Requested-With,Content-Type,Accept");
$param['file']=request()->file('file');

$resImg=$fileModel->updateByField($param['file'],'User',$param['id'],'img','thumb_img',150,150);
if(!$resImg){
returnresultArray(['error'=>$fileModel->getError()]);
}
returnresultArray(['data'=>'上傳成功']);
}

在方法里,有個(gè)updateByField的方法,這個(gè)是上傳文件的調(diào)用,方法體如下:

publicfunctionupdateByField($file,$module,$module_id,$field,$thumb_field='',$x='150',$y='150')
{
if(empty($module)||empty($module_id)||empty($field)){
$this->error='參數(shù)錯(cuò)誤';
returnfalse;
}

$info=$file->move(FILE_PATH.'public'.DS.'uploads');//驗(yàn)證規(guī)則
$fileInfo=$info->getInfo();//附件數(shù)據(jù)

在這個(gè)方法中,有個(gè)文件管理類file,其中的move方法做了文件的上傳操作,如下:

publicfunctionmove($path,$savename=true,$replace=true)
{
//文件上傳失敗,捕獲錯(cuò)誤代碼
if(!empty($this->info['error'])){
$this->error($this->info['error']);
returnfalse;
}

//檢測(cè)合法性
if(!$this->isValid()){
$this->error='uploadillegalfiles';
returnfalse;
}

//驗(yàn)證上傳
if(!$this->check()){
returnfalse;
}

$path=rtrim($path,DS).DS;
//文件保存命名規(guī)則
$saveName=$this->buildSaveName($savename);
$filename=$path.$saveName;

//檢測(cè)目錄
if(false===$this->checkPath(dirname($filename))){
returnfalse;
}

//不覆蓋同名文件
if(!$replace&&is_file($filename)){
$this->error=['hasthesamefilename:{:filename}',['filename'=>$filename]];
returnfalse;
}

/*移動(dòng)文件*/
if($this->isTest){
rename($this->filename,$filename);
}elseif(!move_uploaded_file($this->filename,$filename)){
$this->error='uploadwriteerror';
returnfalse;
}

//返回File對(duì)象實(shí)例
$file=newself($filename);
$file->setSaveName($saveName)->setUploadInfo($this->info);

return$file;
}

到此,方法體中的move_uploaded_file算是保存完了構(gòu)建的PHP文件,需要注意的是,這里的命名規(guī)則,代碼里用了時(shí)間的隨機(jī)數(shù),

switch($this->rule){
case'date':
$savename=date('Ymd').DS.md5(microtime(true));
break;

也就是說(shuō),前端可以猜到具體的文件夾,但是具體的文件名,需要后期做個(gè)碰撞的腳本,才可以獲取到。因?yàn)槭前缀袑徲?jì),這一步就暫時(shí)省略掉了。

總結(jié)

老版本種存在的問題,最新版本也是存在的,只不過(guò)需要后期數(shù)據(jù)的加工,沒有之前版本來(lái)的那么容易。所以做程序要用心,做安全更是如此。



審核編輯:劉清

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
  • SQL
    SQL
    +關(guān)注

    關(guān)注

    1

    文章

    783

    瀏覽量

    44991
  • CRM
    CRM
    +關(guān)注

    關(guān)注

    1

    文章

    148

    瀏覽量

    21462
  • 數(shù)據(jù)庫(kù)
    +關(guān)注

    關(guān)注

    7

    文章

    3913

    瀏覽量

    66025
  • HRM
    HRM
    +關(guān)注

    關(guān)注

    0

    文章

    10

    瀏覽量

    9099

原文標(biāo)題:悟空crm漏洞新用

文章出處:【微信號(hào):Tide安全團(tuán)隊(duì),微信公眾號(hào):Tide安全團(tuán)隊(duì)】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。

收藏 0人收藏
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

    評(píng)論

    相關(guān)推薦
    熱點(diǎn)推薦

    《黑神話:悟空》狂吃硬件性能,存儲(chǔ)同步升級(jí)

    電子發(fā)燒友網(wǎng)報(bào)道(文/黃晶晶)8月20日,國(guó)產(chǎn)3A游戲《黑神話:悟空》于上午10時(shí)全球同步上線,并迅速成為Steam、WeGame等多個(gè)游戲平臺(tái)銷量榜首,更在美國(guó)、新加坡、泰國(guó)、加拿大、巴西等12個(gè)
    的頭像 發(fā)表于 08-25 01:00 ?6586次閱讀
    《黑神話:<b class='flag-5'>悟空</b>》狂吃硬件性能,存儲(chǔ)同步升級(jí)

    有屏幕就能玩《黑神話:悟空》:“無(wú)影”的黑科技

    中國(guó)首款3A游戲《黑神話:悟空》橫空出世,精美宏偉的視覺奇觀、流暢的操作體驗(yàn)在全球掀起熱潮。不過(guò)高配置的電腦要求、100多G的安裝包、冗長(zhǎng)的解壓時(shí)間(有人調(diào)侃解壓都要花500年),讓不少玩家望而卻步
    的頭像 發(fā)表于 06-24 10:16 ?101次閱讀
    有屏幕就能玩《黑神話:<b class='flag-5'>悟空</b>》:“無(wú)影”的黑科技

    安森美 CrM PFC NCP1623

    在現(xiàn)代電子設(shè)備中,功率因數(shù)校正(PFC)電路是不可或缺的一部分。市面上常見的PFC電路通常采用升壓轉(zhuǎn)換器架構(gòu),并運(yùn)行在不同的工作模式下,例如不連續(xù)工作模式(DCM)、臨界工作模式(BCM/CrM
    發(fā)表于 04-17 14:47 ?1次下載

    華為云服務(wù)器 Flexus X 搭建悟空 crm 管理系統(tǒng)——助力企業(yè)云上管理(解決 APP Referer 校驗(yàn)失敗問題)

    1、為什么我們企業(yè)會(huì)選擇 Flexus 云服務(wù)器 X 實(shí)例來(lái)部署自己的 CRM 管理系統(tǒng)? 因?yàn)榛谌A為云 Flexus X 實(shí)例搭建 CRM 管理平臺(tái),可以從容面對(duì)企業(yè)內(nèi)部瞬息萬(wàn)變的業(yè)務(wù)壓力變化
    的頭像 發(fā)表于 02-06 15:43 ?360次閱讀
    華為云服務(wù)器 Flexus X 搭建<b class='flag-5'>悟空</b> <b class='flag-5'>crm</b> 管理系統(tǒng)——助力企業(yè)云上管理(解決 APP Referer 校驗(yàn)失敗問題)

    漏洞掃描的主要功能是什么

    漏洞掃描是一種網(wǎng)絡(luò)安全技術(shù),用于識(shí)別計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序中的安全漏洞。這些漏洞可能被惡意用戶利用來(lái)獲取未授權(quán)訪問、數(shù)據(jù)泄露或其他形式的攻擊。漏洞掃描的主要功能是幫助組織及時(shí)發(fā)現(xiàn)并
    的頭像 發(fā)表于 09-25 10:25 ?893次閱讀

    迅為RK3588開發(fā)板!黑神話悟空,啟動(dòng)?

    《黑神話:悟空》是一款西游背景的動(dòng)作角色扮演游戲,故事取材自中國(guó)古典神話小說(shuō)《西游記》。玩家將扮演“天命人”,為了探尋昔日傳說(shuō)的真相而踏上這條千難萬(wàn)險(xiǎn)的西行之路。作為國(guó)內(nèi)首款3A大作,在20號(hào)發(fā)布
    發(fā)表于 09-23 10:48

    臺(tái)媒報(bào)道:華為云攜手贊奇科技?推出《黑神話:悟空》專屬云游戲服務(wù)

    奇超高清云工作站為此還推出了限時(shí)優(yōu)惠,新用戶可以以 29.9 元/天的價(jià)格體驗(yàn),嘗鮮價(jià)更是低至 1.2 元/小時(shí)。 據(jù)了解,華為云聯(lián)合贊奇科技推出《黑神話:悟空》專屬機(jī)型套餐,提供專業(yè)級(jí)顯卡、高性能磁盤及超大內(nèi)存等,幫助本
    的頭像 發(fā)表于 09-06 16:08 ?983次閱讀
    臺(tái)媒報(bào)道:華為云攜手贊奇科技?推出《黑神話:<b class='flag-5'>悟空</b>》專屬云游戲服務(wù)

    破界而生,智領(lǐng)未來(lái)——瑞芯微RK3588J_K7的“悟空之力”

    一夜之間,全球都是“天命人”。最近發(fā)布的《黑神話:悟空》掀起了一場(chǎng)全球范圍的“西天取經(jīng)”浪潮大家都被帥氣的“悟空”硬控了。在《黑神話:悟空》中展現(xiàn)的悟空無(wú)畏精神和勇敢姿態(tài)也寓意著AI技
    的頭像 發(fā)表于 09-03 08:06 ?901次閱讀
    破界而生,智領(lǐng)未來(lái)——瑞芯微RK3588J_K7的“<b class='flag-5'>悟空</b>之力”

    暢玩《黑神話:悟空》,除了“官配”硬件還需要注意這些......

    暢玩《黑神話:悟空》,除了“官配”硬件還需要注意這些......
    的頭像 發(fā)表于 08-30 14:58 ?848次閱讀
    暢玩《黑神話:<b class='flag-5'>悟空</b>》,除了“官配”硬件還需要注意這些......

    RK3588!黑神話悟空,啟動(dòng)?-迅為電子RK3588開發(fā)板

    RK3588!黑神話悟空,啟動(dòng)?-迅為電子RK3588開發(fā)板
    的頭像 發(fā)表于 08-30 14:13 ?1265次閱讀
    RK3588!黑神話<b class='flag-5'>悟空</b>,啟動(dòng)?-迅為電子RK3588開發(fā)板

    黑神話悟空對(duì)服務(wù)器有什么要求

    《黑神話:悟空》對(duì)服務(wù)器的要求主要包括高分辨率和光追技術(shù)的支持,需要高性能的顯卡和處理器。Rak小編為您整理發(fā)布黑神話悟空對(duì)服務(wù)器有什么要求。
    的頭像 發(fā)表于 08-21 10:41 ?634次閱讀

    《黑神話:悟空》騰云駕霧來(lái),技嘉RTX 4070 SUPER 悟空聯(lián)名顯卡 助力共繪西游神話新篇

    在古老的神話與現(xiàn)代的科技交織的邊界,《黑神話:悟空》這部承載著無(wú)數(shù)玩家夢(mèng)想的國(guó)產(chǎn)游戲巨作,8月20日正式上線。 ? 在預(yù)告片放出之時(shí),《黑神話:悟空》就已經(jīng)是全球持續(xù)火熱的“頂流”,其每一幀畫面下
    的頭像 發(fā)表于 08-20 13:55 ?539次閱讀

    聯(lián)想拯救者攜手《黑神話:悟空》玩轉(zhuǎn)東方神話世界

    從2020年首次發(fā)布實(shí)機(jī)演示視頻以來(lái),《黑神話:悟空》便在全球范圍內(nèi)獲得了廣泛關(guān)注,成為國(guó)產(chǎn)3A游戲的現(xiàn)象級(jí)爆款。6月,聯(lián)想拯救者正式宣布成為《黑神話:悟空》全球官方合作伙伴,致力于共同革新國(guó)產(chǎn)游戲
    的頭像 發(fā)表于 08-20 09:14 ?706次閱讀
    聯(lián)想拯救者攜手《黑神話:<b class='flag-5'>悟空</b>》玩轉(zhuǎn)東方神話世界

    “態(tài)猴了”cp合體送福利,001號(hào)致態(tài)x《黑神話:悟空》聯(lián)名版SSD花落誰(shuí)家?

    國(guó)產(chǎn)游戲大作《黑神話:悟空》即將全球上線,京東作為其全球官方合作伙伴,提前為游戲愛好者帶來(lái)了前所未有的驚喜,上門送出全球首單《黑神話:悟空》實(shí)體收藏版。 面對(duì)京東采銷送來(lái)的《黑神話:悟空》實(shí)體收藏版
    的頭像 發(fā)表于 08-19 15:19 ?821次閱讀

    《中新社》關(guān)注“本源悟空”境外訪問量美國(guó)排第一

    走進(jìn)本源量子計(jì)算機(jī)組裝與測(cè)試實(shí)驗(yàn)室,中國(guó)第三代自主超導(dǎo)量子計(jì)算機(jī)“本源悟空”正伴隨著機(jī)器運(yùn)行的嗡鳴聲,運(yùn)算來(lái)自世界各地的量子計(jì)算任務(wù)。據(jù)介紹,在“本源悟空”的境外訪問用
    的頭像 發(fā)表于 07-06 08:22 ?569次閱讀
    《中新社》關(guān)注“本源<b class='flag-5'>悟空</b>”境外訪問量美國(guó)排第一
    主站蜘蛛池模板: 星空无限传媒视频在线观看视频 | 国产99视频精品一区 | 亚洲精品久久一区二区三区四区 | 欧美gv明星| 看了n遍舍不得删的黄文 | 国产欧美精品一区二区色综合 | 污污内射在线观看一区二区少妇 | 欧美xxxx性喷潮 | 国产精品久久久久久久AV下载 | adc我们的永久网址 adc网址在线观看 | 九九色精品国偷自产视频 | 国产一区二区三区内射高清 | 日韩AV成人无码久久精品老人 | 国产精品JK白丝AV网站 | 成人免费视频无遮挡在线看 | 亚洲精品免播放器在线观看 | 高hnp肉文| 久久精品观看影院2828 | 国产又粗又猛又爽又黄的免费视频 | 国产精品玖玖玖影院 | 精品午夜寂寞影院在线观看 | 99re6热这里在线精品视频 | 免费国产成人高清在线观看视频 | 久久国内精品视频 | 午夜福利理论片在线播放 | 热九九99香蕉精品品 | 白丝美女被狂躁免费漫画 | 亚洲AV久久无码精品九九软件 | 欧美日韩永久久一区二区三区 | 日本视频中文字幕一区二区 | 国产成人免费观看在线视频 | 国产精品丰满人妻AV麻豆 | 毛片基地看看成人免费 | 久久伊人免费 | 97色伦在色在线播放 | 果冻传媒剧情在线观看 | 影音先锋av电影 | 国产欧美一区二区三区视频 | 日本久久久久久久做爰片日本 | 青柠在线视频 | 天天夜夜草草久久亚洲香蕉 |

    電子發(fā)燒友

    中國(guó)電子工程師最喜歡的網(wǎng)站

    • 2931785位工程師會(huì)員交流學(xué)習(xí)
    • 獲取您個(gè)性化的科技前沿技術(shù)信息
    • 參加活動(dòng)獲取豐厚的禮品