https://forum.butian.net/share/1892
/formmodel/mobile/mec/servlet/MECAdminAction.java /formmodel/mobile/manager/MobileUserInit.java /mobile/plugin/ecology/service/AuthService.java
继续回到/formmodel/mobile/manage…
0x00 如何搜索
搜这个“public\Wclass\W\w{0,}Action”。根据这样的搜索随机漏洞,有时候会出意料之外的洞,比如这次的任意sql执行
0x01 简单说明
对登录的账号进行判断是否为admin/sysadmin账号,获取Action参数进行判断是否为getDatasBySql参数,然后直接调用getDatasBySql方法
geDatasBySql的方法是获取了http实例并获取http的sql和datasource的参数,并对这个datasource参数进行判断,当sql语句执行成功后就直接将bool参数赋值为ture,然后进行判断如果不为true的话就直接跳出回显空,否则就继续将sql返回的数据进行json数组的转换输出回显。
这时候思路应该很明了了,全局搜索这个类的路径“com.weaver.formmodel.mobile.mec.servlet.MECAdminAction”,但是这没前端代码只有js文件里面匹配到了,而且还是插件的js,但是默认是存在的,所以这个漏洞是存在的,可以构造http://127.0.0.1/mobilemode/Action.jsp?invoker=com.weaver.formmodel.mobile.mec.servlet.MECAdminAction&action=getDatasBySQL&datasource=&sql=select%20\*%20from%20SystemSet来进行访问。
0x02 流程
/formmodel/mobile/mec/servlet/MECAdminAction.java
在37行对登录的用户进行了判断是否 admin sysadmin的权限
暂无评论内容