信呼OA v2.6.7 SQL注入漏洞分析与利用<\/h1>

系统介绍<\/h2>
信呼OA是一款企业办公自动化系统，官网地址：http:\/\/www.rockoa.com<\/p>

路由分析<\/h2>

信呼OA的路由结构如下：<\/p>

a<\/code>参数：表示方法<\/li>
m<\/code>参数：表示目录<\/li>
如果有多层目录，d<\/code>表示最外层目录<\/li>

m<\/code>参数格式：文件名|目录<\/code><\/li>
<\/ul>
漏洞点一分析<\/h2>
漏洞位置<\/h3>
webmain\/task\/openapi\/opendkqAction.php<\/code>文件中的addkqjs<\/code>方法<\/p>
漏洞分析流程<\/h3>


漏洞入口<\/strong>：<\/p>

addkqjs<\/code>方法调用了insert<\/code>方法<\/li>
跟踪insert<\/code>方法发现传入的值被直接拼接到SQL语句中执行<\/li>
<\/ul>
<\/li>

调用链分析<\/strong>：<\/p>

senddata<\/code>方法调用了addkqjs<\/code>方法<\/li>
$sn<\/code>参数通过arrvalue<\/code>方法从传入的第一参数中获取sn<\/code>键的值<\/li>
<\/ul>
<\/li>

触发条件<\/strong>：<\/p>

$type<\/code>必须等于9<\/li>
$rs<\/code>来自$arr<\/code>的value<\/li>
$arr<\/code>来自JSON解码后的$str<\/code><\/li>
$str<\/code>来自POST请求体，完全可控<\/li>
<\/ul>
<\/li>

调用路径<\/strong>：<\/p>

zktimeAction<\/code>调用了senddata<\/code>方法并传入9，满足$type=9<\/code>的条件<\/li>
<\/ul>
<\/li>

权限绕过<\/strong>：<\/p>

父类中存在鉴权，但只需Host为127.0.0.1<\/code>或192.168.x.x<\/code>即可绕过<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用<\/h3>


构造请求URL<\/strong>：<\/p>
\/index.php?m=opendkq|openapi&d=task&a=zktime
<\/code><\/pre>
<\/li>

构造payload<\/strong>：<\/p>

需要构造两层JSON<\/li>
Host头设置为127.0.0.1<\/code><\/li>
<\/ul>
<\/li>

自动化工具利用<\/strong>：<\/p>

使用sqlmap结合Burp Suite<\/li>
修改Host头绕过IP限制<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞点二分析<\/h2>
漏洞位置<\/h3>
webmain\/task\/openapi\/openbaseAction.php<\/code>文件<\/p>
漏洞分析流程<\/h3>


参数处理<\/strong>：<\/p>

getpostarr()<\/code>方法要求POST值为JSON格式<\/li>
basemodenum<\/code>参数赋值给$modenum<\/code><\/li>
baseoptid<\/code>参数赋值给$adminid<\/code>（经过过滤，无法传入单引号等特殊字符）<\/li>
<\/ul>
<\/li>

关键验证<\/strong>：<\/p>

21行调用getuserid<\/code>方法查询$adminid<\/code><\/li>
22行检查查询结果，若无数据则报错终止<\/li>
最简单方式是传入adminid=1<\/code>（已知存在的ID）<\/li>
<\/ul>
<\/li>

注入点分析<\/strong>：<\/p>

querydata<\/code>方法接收三个参数<\/li>
$modenum<\/code>（即$num<\/code>）传入initflow<\/code>方法<\/li>
initflow<\/code>方法又将其传入initdata<\/code>方法<\/li>
$num<\/code>最终被拼接到SQL条件语句中执行，无任何限制<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用<\/h3>


构造请求<\/strong>：<\/p>

POST请求体为JSON格式<\/li>
包含basemodenum<\/code>和baseoptid<\/code>参数<\/li>
baseoptid<\/code>设置为已知存在的ID（如1）<\/li>
<\/ul>
<\/li>

注入payload<\/strong>：<\/p>

通过basemodenum<\/code>参数构造SQL注入语句<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
漏洞共性<\/h3>

两个漏洞都存在IP限制（需本地或内网IP）<\/li>
都涉及JSON格式数据处理<\/li>
都因参数直接拼接SQL语句导致注入<\/li>
<\/ol>
防护建议<\/h3>

对所有输入参数进行严格过滤和类型检查<\/li>
使用预编译语句或ORM框架<\/li>
加强权限验证，不能仅依赖IP限制<\/li>
对JSON输入进行严格验证<\/li>
<\/ol>
利用要点<\/h3>

必须修改Host头绕过IP限制<\/li>
注意请求参数格式（JSON）<\/li>
部分参数需要构造特定值才能触发漏洞路径<\/li>
<\/ol>

信呼OA v2.6.7 SQL注入漏洞分析与利用<\/h1>

系统介绍<\/h2>
信呼OA是一款企业办公自动化系统，官网地址：http:\/\/www.rockoa.com<\/p>

漏洞点一分析<\/h2>

漏洞位置<\/h3>
`webmain\/task\/openapi\/opendkqAction.php<\/code>文件中的addkqjs<\/code>方法<\/p>`

漏洞点二分析<\/h2>

漏洞位置<\/h3>
`webmain\/task\/openapi\/openbaseAction.php<\/code>文件<\/p>`

总结<\/h2>

利用要点<\/h3>

必须修改Host头绕过IP限制<\/li>
注意请求参数格式（JSON）<\/li>
部分参数需要构造特定值才能触发漏洞路径<\/li> <\/ol>

信呼OA v2.6.7 SQL注入漏洞分析与利用<\/h1>

系统介绍<\/h2> 信呼OA是一款企业办公自动化系统，官网地址：http:\/\/www.rockoa.com<\/p>

漏洞点一分析<\/h2>

漏洞位置<\/h3> webmain\/task\/openapi\/opendkqAction.php<\/code>文件中的addkqjs<\/code>方法<\/p>

漏洞点二分析<\/h2>

漏洞位置<\/h3> webmain\/task\/openapi\/openbaseAction.php<\/code>文件<\/p>

总结<\/h2>

利用要点<\/h3> 必须修改Host头绕过IP限制<\/li> 注意请求参数格式（JSON）<\/li> 部分参数需要构造特定值才能触发漏洞路径<\/li> <\/ol>

系统介绍<\/h2>
信呼OA是一款企业办公自动化系统，官网地址：http:\/\/www.rockoa.com<\/p>

漏洞位置<\/h3>
`webmain\/task\/openapi\/opendkqAction.php<\/code>文件中的addkqjs<\/code>方法<\/p>`

漏洞位置<\/h3>
`webmain\/task\/openapi\/openbaseAction.php<\/code>文件<\/p>`

利用要点<\/h3>

必须修改Host头绕过IP限制<\/li>
注意请求参数格式（JSON）<\/li>
部分参数需要构造特定值才能触发漏洞路径<\/li> <\/ol>