某微系统两处SQL注入漏洞分析与复现<\/h1>

漏洞概述<\/h2>
本文档详细分析了某微系统中发现的两处SQL注入漏洞，包括漏洞原理、环境搭建方法、漏洞复现步骤以及修复建议。这两处漏洞均已在新版本中修复。<\/p>

环境搭建与绕过方法<\/h2>

由于系统需要导入license证书才能正常使用，但证书生成需要私钥，作者采用了修改源代码的方式绕过验证：<\/p>

修改 classbean\/api\/login\/util\/LoginUtil.class<\/code> 中的 beforeCheckUser<\/code> 函数<\/li>

修改 classbean\/weaver\/login\/LicenseCheckLogin.class<\/code> 中的 getLicUserCheck<\/code> 函数<\/li>
<\/ol>
修改后需要重新编译替换原文件并重启服务。<\/p>
第一处SQL注入漏洞<\/h2>
漏洞位置<\/h3>

参数：node<\/code><\/li>
文件：未明确指定，但代码片段显示在处理流程配置的页面<\/li>
<\/ul>
漏洞分析<\/h3>

服务端接收前端传入的node<\/code>参数，以"_"为分隔符分为两部分赋值给type<\/code>和value<\/code><\/li>
在rs.executeSql()<\/code>处直接将value<\/code>拼接进SQL语句执行<\/li>
查询结果以JSON格式返回<\/li>
<\/ol>
漏洞复现步骤<\/h3>

构造payload：scope=1&node=wftype_5\/if(ascii(substr(user(),1,1))=114,1,0)<\/code><\/li>
判断数据库用户名第一个字符的ASCII码：

如果条件为真(返回1)，执行5\/1<\/code>，返回正常数据<\/li>
如果条件为假(返回0)，执行5\/0<\/code>，因除零错误导致数据库执行错误无数据返回<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞验证<\/h3>
通过观察返回结果可以判断条件是否成立，从而实现盲注。<\/p>
第二处SQL注入漏洞<\/h2>
漏洞位置<\/h3>

参数：userIdentifiers<\/code><\/li>
文件：\/mobile\/plugin\/SyncUserInfo.jsp<\/code><\/li>
<\/ul>
漏洞分析<\/h3>

参数userIdentifiers<\/code>直接拼接到SQL语句中<\/li>
通过大量换行符(%0d%0a<\/code>)可能用于绕过WAF或其他防护机制<\/li>
支持联合查询注入<\/li>
<\/ol>
漏洞复现步骤<\/h3>

构造联合查询payload：<\/li>
<\/ol>
\/mobile\/plugin\/SyncUserInfo.jsp?userIdentifiers=1,2%29%0a%0d%0a%0d...[大量换行]...%0dunion%20select%201%2C2%2C3%2C4%2Cuser()%2C6%2C7%2C8%20order%20by%208%23
<\/code><\/pre>

通过联合查询可以获取数据库信息，如当前用户<\/li>
<\/ol>
修复建议<\/h2>

对所有用户输入进行严格的参数化查询处理<\/li>
使用预编译语句(PreparedStatement)替代直接拼接SQL<\/li>
实施最小权限原则，限制数据库账户权限<\/li>
对输入参数进行白名单验证<\/li>
部署WAF等防护措施<\/li>
<\/ol>
总结<\/h2>
这两处SQL注入漏洞都是由于未对用户输入进行充分过滤和参数化处理导致的。第一处漏洞可以通过布尔盲注方式获取信息，第二处漏洞则可以直接进行联合查询注入。开发人员应重视安全编码实践，避免此类漏洞的出现。<\/p>
附录<\/h2>
第一处漏洞关键代码<\/h3>
rs.<\/span>executeSql<\/span>(<\/span>"select id,workflowname from workflow_base where isvalid='1' and workflowtype="<\/span>+<\/span>value);<\/span>
<\/span><\/span><\/code><\/pre>第二处漏洞关键代码<\/h3>
ps.<\/span>syncUserInfo<\/span>(<\/span>userIdentifiers);<\/span> \/\/ 直接拼接进入SQL语句
<\/span><\/span><\/span><\/code><\/pre>

某微系统两处SQL注入漏洞分析与复现<\/h1>

漏洞概述<\/h2> 本文档详细分析了某微系统中发现的两处SQL注入漏洞，包括漏洞原理、环境搭建方法、漏洞复现步骤以及修复建议。这两处漏洞均已在新版本中修复。<\/p>

第一处SQL注入漏洞<\/h2>

漏洞验证<\/h3> 通过观察返回结果可以判断条件是否成立，从而实现盲注。<\/p>

第二处SQL注入漏洞<\/h2>

附录<\/h2>

第二处漏洞关键代码<\/h3> ps.<\/span>syncUserInfo<\/span>(<\/span>userIdentifiers);<\/span> \/\/ 直接拼接进入SQL语句 <\/span><\/span><\/span><\/code><\/pre>

漏洞概述<\/h2>
本文档详细分析了某微系统中发现的两处SQL注入漏洞，包括漏洞原理、环境搭建方法、漏洞复现步骤以及修复建议。这两处漏洞均已在新版本中修复。<\/p>

漏洞验证<\/h3>
通过观察返回结果可以判断条件是否成立，从而实现盲注。<\/p>

第二处漏洞关键代码<\/h3>
`ps.<\/span>syncUserInfo<\/span>(<\/span>userIdentifiers);<\/span> \/\/ 直接拼接进入SQL语句 <\/span><\/span><\/span><\/code><\/pre>`