首頁 > 後端開發 > php教程 > 齊博CMS的sql注入漏洞學習

齊博CMS的sql注入漏洞學習

WBOY
發布: 2016-08-08 09:27:17
原創
1562 人瀏覽過

       今天看到了asrc上面對某個cms的漏洞分析的文章(http://security.alibaba.com/blog/blog.htm?spm=0.0.0.0.96tpib&id=13 ),感覺阿里大牛在寫漏洞分析的時候還是有點謹慎,利用方式什麼就更不能說了。

       百度搜尋了這個CMS,使用量還是不小的。對php不太懂,簡單學習了一下,並且總結了利用方式。

       漏洞的原因是 inc/common.inc.php 中的這一段程式碼:

if(!ini_get('register_globals')){
	@extract($_FILES,EXTR_SKIP);
}
登入後複製

      而我們知道,這些變數是不會經過魔術引號的轉義的。

       再看member/comment.php 這個文件,如下程式碼:

if($job=='del'){
      foreach( $cidDB AS $key=>$value){
		$rs=$db->get_one("SELECT aid FROM {$pre}comment WHERE cid='$value'");
		$erp=get_id_table($rs[aid]);
		$rsdb=$db->get_one("SELECT C.cid,C.uid AS commentuid,C.aid,A.uid,A.fid FROM {$pre}comment C LEFT JOIN {$pre}article$erp A ON C.aid=A.aid WHERE C.cid='$value'");
		if($rsdb[uid]==$lfjuid||$rsdb[commentuid]==$lfjuid||$web_admin||in_array($rsdb[fid],$fiddb)){
			$db->query("DELETE FROM {$pre}comment WHERE cid='$rsdb[cid]'");
		}
		$db->query("UPDATE {$pre}article$erp SET comments=comments-1 WHERE aid='$rsdb[aid]'");
	}
	refreshto("$FROMURL","删除成功",0);
}
登入後複製

       其中 $cid5 這個變數所取得的變數為由L     其中 $cid。 sql的。

但是因為 comment.php引用了common.inc.php,並且$cidDB並沒有初始化,所以這邊我們可以用 $_Files裡面的變數去直接給 $cidDB 賦值,並且沒有轉義。

         poc:

       

         寫一個簡單的html頁面:

        接著我們重新命名一個文件,名稱為:1' union select version() and '1'='1

       

      這邊有個比較麻煩的問題是: 由於value值保存在了兩個sql語句裡面,這兩個語句的列不一樣,所以這邊用union會報錯,只能盲注了。或者尋找一下其他地方的未初始化的變數也可。





大小: 55.3 KB

大小: 26.1 KB

查看圖片附件 以上就介紹了齊博CMS的sql注入漏洞學習,包括了方面的內容,希望對PHP教程有興趣的朋友有所幫助。

相關標籤:
來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板