某OA系统渗透测试实战教学文档<\/h1>

1. 漏洞发现与利用概述<\/h2>
本教学文档详细记录了对某OA系统的渗透测试过程，涉及前台SQL注入和后台RCE漏洞的发现与利用。<\/p>

2. 前台SQL注入漏洞<\/h2>

2.1 注入点发现<\/h3>

通过百度搜索发现某处前台注入点<\/li>

注入点位于图片加载功能中<\/li> <\/ul>

2.2 注入点分析<\/h3>

系统继承openapiAction<\/code>类<\/li>

父类初始化函数中存在关键判断逻辑<\/li>
<\/ul>
2.2.1 访问控制绕过<\/h4>

系统使用openkey<\/code>进行验证，该值在安装时随机生成，无法预知<\/li>
通过伪造HTTP_HOST<\/code>头绕过访问控制

$_SERVER['HTTP_HOST']<\/code>获取的host值在不同中间件中存在差异<\/li>
目标系统以IP+端口方式访问，修改host头可绕过<\/li>
<\/ul>
<\/li>
<\/ul>
2.3 注入原理<\/h3>

参数经过base64解密后直接拼接SQL语句<\/li>
防注入措施在base64解码前执行，导致失效<\/li>
注入点为INSERT语句，无法直接回显<\/li>
<\/ul>
2.4 注入利用<\/h3>

使用时间盲注技术<\/li>
使用sqlmap的--sql-shell<\/code>功能进行查询<\/li>
查询管理员密码语句：
select<\/span> pass from<\/span> [Q]admin<\/span> where<\/span> user<\/span>=<\/span>'admin'<\/span> limit<\/span> 1<\/span>
<\/span><\/span><\/code><\/pre><\/li>
表前缀处理：使用[Q]<\/code>代替表前缀，系统会在执行时自动替换<\/li>
<\/ul>
3. 后台RCE漏洞<\/h2>
3.1 漏洞发现<\/h3>

参考网上公开的后台RCE文章<\/li>
参数通过$this->post('name')<\/code>方式获取<\/li>
<\/ul>
3.2 限制条件<\/h3>

输入过滤：

过滤单引号<\/li>
数据转化为小写<\/li>
数据长度限制<\/li>
<\/ul>
<\/li>
双引号也被过滤<\/li>
无法通过$_POST[1]<\/code>方式外部传入<\/li>
<\/ol>
3.3 绕过技术<\/h3>

利用base64_decode<\/code>函数特性：

字符串不需要引号包裹也可正常解码<\/li>
字符串结尾的=<\/code>会被丢弃<\/li>
示例：base64_decode('MTIz') == base64_decode(MTIz)<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
3.4 RCE利用POC<\/h3>
a<\/span>{};file_put_contents<\/span>(base64_decode<\/span>(strtoupper<\/span>(mti<\/span>) .<\/span> strtolower<\/span>(ud<\/span>) .<\/span> strtoupper<\/span>(h<\/span>) .<\/span> strtolower<\/span>(h0<\/span>)),base64_decode<\/span>(strtoupper<\/span>(xs<\/span>) .<\/span> strtolower<\/span>(k<\/span>) .<\/span> strtolower<\/span>(7<\/span>)),8<\/span>);class<\/span> a<\/span>
<\/span><\/span><\/code><\/pre>POC说明：<\/h4>

使用file_put_contents<\/code>写入一句话木马<\/li>
由于长度限制，采用追加方式写入(8<\/code>参数)<\/li>
字母和数字需要分开处理：

不能直接写strtolower(k7)<\/code><\/li>
需要写成strtolower(k) . strtolower(7)<\/code><\/li>
<\/ul>
<\/li>
通过字符串拼接构造base64编码的路径和内容<\/li>
<\/ol>
4. 关键知识点总结<\/h2>

HTTP Host头伪造<\/strong>：在特定中间件配置下可绕过访问控制<\/li>
Base64解码绕过<\/strong>：参数在解码前进行过滤，解码后直接拼接导致注入<\/li>
无回显注入利用<\/strong>：时间盲注技术结合sqlmap的sql-shell功能<\/li>
表前缀处理<\/strong>：使用[Q]<\/code>占位符处理动态表前缀<\/li>
严格过滤下的RCE<\/strong>：

利用函数特性绕过引号限制<\/li>
字符串分片处理绕过长度和小写转换限制<\/li>
使用追加方式写入文件<\/li>
<\/ul>
<\/li>
<\/ol>
5. 防御建议<\/h2>

对所有输入参数进行统一过滤，包括解码后的内容<\/li>
使用预编译语句处理SQL查询<\/li>
限制HTTP Host头的可信来源<\/li>
对文件写入操作进行严格权限控制和内容检查<\/li>
禁用危险函数或严格限制其使用场景<\/li>
<\/ol>

某OA系统渗透测试实战教学文档<\/h1>

1. 漏洞发现与利用概述<\/h2> 本教学文档详细记录了对某OA系统的渗透测试过程，涉及前台SQL注入和后台RCE漏洞的发现与利用。<\/p>

2. 前台SQL注入漏洞<\/h2>

3. 后台RCE漏洞<\/h2>

1. 漏洞发现与利用概述<\/h2>
本教学文档详细记录了对某OA系统的渗透测试过程，涉及前台SQL注入和后台RCE漏洞的发现与利用。<\/p>