0x01 前言

有段时间没有发文章了,主要没挖到比较有意思的漏洞点。然后看最近爆了很多关于S-CMS的漏洞,下载了源码简单挖了一下然后给大家分享一下。

0x02 目录

Wap_index.php sql注入
Form.php Sql注入
Input、query

0x03 插曲

这里分享一下在审计的时候自用的一段代码。

  1.  
            $debug=function(){
  2.  
                $logFile='C:\\Users\\DELL\\Desktop\\debug.txt';     //输出的文件
  3.  
                $param=func_get_args();                     //获取传入函数的参数
  4.  
                if (count($param)>0){                           
  5.  
                    $str=serialize($param);                     //序列号
  6.  
                    if($str){                                   //存在就写入
  7.  
                        $str=file_get_contents($logFile)."\r\n\r\n".__FILE__.":\t\t".$str;
  8.  
                        file_put_contents($logFile,"\t\t".$str);
  9.  
                    }else{                                  //不存在写入Null
  10.  
                        $str=file_get_contents($logFile)."\r\n\r\n".__FILE__.":\r\n".$str;
  11.  
                        file_put_contents($logFile,"\t\tNull");
  12.  
                    }
  13.  
                }
  14.  
            };$debug($x,$a,$b);     //这里$x,$a,$b都是要查看的变量。

主要用这个的话个人感觉比较方便,平常测试都是var_dump();die;来查看。然后当die后,页面还是没有打印内容,用这个函数还是相对比较方便的。当然用phpstorm下断点挺好的,不过个人不太喜欢。主要还是我懒。

0x04 Wap_index.php sql注入

漏洞文件:\scms\wap_index.php
这个文件的话不止这一处Sql注入,这里只写这一个。
漏洞行号:90-96

  1.  
    case "text":
  2.  
        $debug("select * from SL_text where T_id=" . $S_id, "T_title");
  3.  
        if (getrs("select * from SL_text where T_id=" . $S_id, "T_title") == "") {
  4.  
            box("菜单指向的简介已被删除,请到“菜单管理”重新编辑", "back", "error");
  5.  
        } else {
  6.  
            $page_info = ReplaceLableFlag(ReplaceWapTag(CreateHTMLReplace(CreateText(ReplaceWapPart(LoadWapTemplate($style, $S_id)) , $S_id))));
  7.  
        }
  8.  
        break;

S_id直接从GET获取无单引号拼接进了sql语句

  1.  
    if(isset($_GET["S_id"])){
  2.  
        $S_id = $_GET["S_id"];
  3.  
    }else{
  4.  
        $S_id = "0";
  5.  
    }

这套CMS核心全带全都加密处理了所以我们看不到他的过滤方法,不过当出现 union select 等的时候都直接退出了,没有继续往下执行。研究发现当传入select(user())能正常执行,不过尝试union(select(1)) 的时候也没有执行,应该是直接正则匹配的union这个单词,而select匹配了前后的空格。

漏洞演示:

$debug保存下来的信息。

D:\phpStudy\PHPTutorial\WWW\scms\wap_index.php:     a:2:{i:0;s:58:"select * from SL_text where T_id=1 and (select(user())!=1)";i:1;s:7:"T_title";}

Mysql.log

正常执行了sql语句。
S_id=1 and (select(user()) from sl_reply 同样可以正常执行,可通过盲注爆数据。

0x05 Form.php Sql注入

漏洞文件:\scms\form.php
漏洞Action:input

  1.  
    if($action=="input"){
  2.  
        if ($_POST["code"]!=$_SESSION["CmsCode"]){
  3.  
            echo "<div style='height:500px'></div>";
  4.  
            box(lang("验证码错误!/l/Verification code error"),"back","error");
  5.  
        }else{
  6.  
            $R_time=date('Y-m-d H:i:s');
  7.  
            $R_rid=gen_key(15);
  8.  
            foreach ($_POST as $x=>$value) {
  9.  
            if ($x>0){
  10.  
                if ($_POST[$x]==""){
  11.  
                    box(lang("请填全内容后提交!/l/Please fill in the full content to submit!"),"back","error");
  12.  
                    die();
  13.  
                }else{
  14.  
                    if (!IsValidStr($_POST[$x])){
  15.  
                    box(lang("您输入的内容有敏感字符,请重新输入!/l/The contents you have entered are sensitive characters, please re-enter!"),"back","error");
  16.  
                    }else{
  17.  
    $debug("Insert into SL_response(R_cid,R_content,R_time,R_rid,R_member) values(".$x.",'".htmlspecialchars($_POST[$x])."','".$R_time."','".$R_rid."',".$M_id.")");
  18.  
                    mysqli_query($conn,"Insert into SL_response(R_cid,R_content,R_time,R_rid,R_member) values(".$x.",'".htmlspecialchars($_POST[$x])."','".$R_time."','".$R_rid."',".$M_id.")");
  19.  
                    }
  20.  
                }
  21.  
            }
  22.  
            }
  23.  
            if ($F_cq>0){
  24.  
            mysqli_query($conn,"Insert into SL_query(Q_code,Q_content,Q_sort) values('".$R_rid."','".date('Y-m-d H:i:s')."__用户提交表单,等待处理"."',".$F_cq.")");
  25.  
            box(lang("提交成功,查询码 ".$R_rid."/l/success!code ".$R_rid.""),$C_dir.$url_to,"success");
  26.  
        }else{
  27.  
        box(lang("提交成功!/l/success!code ".$R_rid.""),$C_dir.$url_to,"success");
  28.  
        }
  29.  
            sendmail("您的网站有新的表单提交","<h2>您的网站“".lang($C_webtitle)."”有新的表单提交</h2><hr>请进入“网站后台” - “表单系统” - “查看统计”查看详情!",$C_email);
  30.  
     
  31.  
        }
  32.  
    }

这里简单看些逻辑,先判断code验证码是否错误,如果为False不错误,进入foreach循环,判断$x(也就是 $_POST的key)>0这里就可以通过php弱类型比如1a>0 为True 这个不多介绍了,然后如果$_POST[$x] 不为空,继续检测$_POST[$x] 是否存在敏感字符,然后拼接sql语句。
整个流程就这样了,漏洞触发点就是$x,它检测敏感字符只检测了$_POST[$x]内容,而没检测$x,而且直接拼接入了sql语句导致SQL注入。

漏洞演示:

http://127.0.0.1/scms/form.php?action=input&S_id=0
code=ywu7&1//and//(1//like//1)=121

$debug记录

D:\phpStudy\PHPTutorial\WWW\scms\form.php:      a:1:{i:0;s:147:"Insert into SL_response(R_cid,R_content,R_time,R_rid,R_member) values(1//and//(1//like//1),'121','2018-12-05 15:27:00','WjWEpX8YIK6cfeq',6)";}


漏洞文件:\scms\form.php
漏洞Action:query

  1.  
    if ($action=="query"){
  2.  
    $Q_sort=$_POST["Q_sort"];
  3.  
    $Q_code=$_POST["Q_code"];
  4.  
        if ($_POST["code"]!=$_SESSION["CmsCode"]){
  5.  
            echo "<div style='height:500px'></div>";
  6.  
            box(lang("验证码错误!/l/Verification code error"),"back","error");
  7.  
        }else{
  8.  
     
  9.  
            $sql="select * from SL_query where Q_sort=".$Q_sort." and Q_code like '".$Q_code."'";
  10.  
            $result = mysqli_query($conn, $sql);
  11.  
            $row = mysqli_fetch_assoc($result);

这个相对简单不多说,$Q_sort从post获取,无过滤直接拼接进sql语句导致sql注入。

Payload:
http://127.0.0.1/scms/form.php?action=query&S_id=0
code=t5o9&Q_sort=1 and 1=1

S-CMS企业建站v3几处SQL注入的更多相关文章

  1. [代码审计]云优cms V 1.1.2前台多处sql注入,任意文件删除修复绕过至getshell

    0X00 总体简介 云优CMS于2017年9月上线全新版本,二级域名分站,内容分站独立,七牛云存储,自定义字段,自定义表单,自定义栏目权限,自定义管理权限等众多功能深受用户青睐,上线短短3个月,下载次 ...

  2. S-CMS企建v3二次SQL注入

    S-CMS企建v3二次SQL注入 0x01 前言 继上一篇的S-CMS漏洞再来一波!首发T00ls 0x2 目录 Sql注入二次SQL注入 0x03 Sql注入 漏洞文件:\scms\bbs\bbs. ...

  3. ThinkCMF X2.2.2多处SQL注入漏洞分析

       1.     漏洞描述 ThinkCMF是一款基于ThinkPHP+MySQL开发的中文内容管理框架,其中X系列基于ThinkPHP 3.2.3开发,最后更新到2.2.2版本.最近刚好在渗透测试 ...

  4. Vtiger CRM 几处SQL注入漏洞分析,测试工程师可借鉴

    本文由云+社区发表 0x00 前言 干白盒审计有小半年了,大部分是业务上的代码,逻辑的复杂度和功能模块结构都比较简单,干久了收获也就一般,有机会接触一个成熟的产品(vtiger CRM)进行白盒审计, ...

  5. sqli-labs(八)——修改密码处sql注入+http头sql注入

    第17关: 这是一个重置密码的功能存在sqk注入,尝试账号密码都输入'",发现只会显示登陆失败,没有报错信息. 这个时候先推测一下后台的sql形式大概应该是: update users se ...

  6. Joomla CMS 3.2-3.4.4 SQL注入 漏洞分析

    RickGray · 2015/10/26 11:24 昨日,Joomla CMS发布新版本3.4.5,该版本修复了一个高危的SQL注入漏洞,3.2至3.4.4版本都受到影响.攻击者通过该漏洞可以直接 ...

  7. sqli-labs(七)——登陆处sql注入

    第十三关: 这关也是一个登陆口,和上关所说的一样,先使用'"试一下,让程序报错然后判断后台的sql语句 可以看到后台sql大概是 where name = ('$name')...  这样的 ...

  8. 74cms v3.3 后台SQL注入

    注入存在于后台 admin_baiduxml.php 代码 52-63行 elseif($act == 'setsave') { $_POST['xmlmax']=intval($_POST['xml ...

  9. DM企业建站系统v201710 sql注入漏洞分析 | 新版v201712依旧存在sql注入

    0x00 前言 本来呢,这套CMS都不想审的了.下载下来打开一看,各种debug注释,排版烂的不行. 贴几个页面看看 感觉像是新手练手的,没有审下去的欲望了. 但想了想,我tm就是新手啊,然后就继续看 ...

随机推荐

  1. 提高github代码下载速度的小技巧

    1.打开如下路径: C:\Windows\System32\drivers\etc 2.将此处的HOSTS文件复制到其他地方,比如桌面.(此处大概率是没有编辑权限的) 3.用记事本打开HOSTS文件, ...

  2. 设置SecureCRT的背景色和文字颜色方案

    一.对于临时设置,可以如下操作: 首先options -- session - appearance 此处可以设置临时的窗口背景,字体颜色,大小等等,为什么说是临时,是因为只要你关闭连接后,又会恢复. ...

  3. c/c++再学习:查找算法了解

    1.顺序查找 说明:顺序查找适合于存储结构为顺序存储或链接存储的线性表. 基本思想:顺序查找也称为线形查找,属于无序查找算法.从数据结构线形表的一端开始,顺序扫描,依次将扫描到的结点关键字与给定值k相 ...

  4. android调试工具 adb命令学习

    查看Android版本号 adb shell getprop ro.build.version.release getprop ro.build.version.release 5.1 查看Andro ...

  5. 并发编程futuretask

    package com.mrbird.api.demoThread.thread1; /** * @Description * @Date: 2019/3/29 */ import java.util ...

  6. python面试题之Python支持什么数据类型?

    所属网站分类: 面试经典 > python 作者:外星人入侵 链接:http://www.pythonheidong.com/blog/article/67/ 来源:python黑洞网,专注py ...

  7. symfony小练习-表白墙

    过上一个博客系统以及对官方示例程序的基本学习,目前对symfony的各个组件有了一定的学习,学校布置了一个表白墙任务,这里就这个任务的完成进行记录 ...........2019.3.20.22.31 ...

  8. 硬核机器学习干货,手把手教你写KNN!

    机器学习相关概念 人工智能.机器学习和深度学习的关系 在探讨算法之前,我们先来谈一谈什么是机器学习.相信大家都听说过AlphaGo:2016年3月,AlphaGo与围棋世界冠军李世石进行围棋人机大战, ...

  9. MySql分割字符串【存储过程】

    MYSql没有表变量,通过函数无法返回表. 参考网址:https://bbs.csdn.net/topics/330021055 DELIMITER $$ USE `数据库`$$ DROP PROCE ...

  10. vue定义全局组件

    <!DOCTYPE html><html> <head> <meta charset="utf-8"> <title>& ...