DM企业建站系统v201710 sql注入漏洞分析 | 新版v201712依旧存在sql注入
0x00 前言
本来呢,这套CMS都不想审的了。下载下来打开一看,各种debug注释,排版烂的不行。
贴几个页面看看
感觉像是新手练手的,没有审下去的欲望了。
但想了想,我tm就是新手啊,然后就继续看了下去。
随便点了一下seay工具自动审出来的几个关键点。发现有注入,既然有注入,就好好看看了。
phpstorm,seay源代码审计,本地demo搭起来~
看完之后,想写篇文章总结一下,标题都写好了:
DM企业建站系统v201710 存在sql注入
可能是因为代码格式不想写了,又或者其他原因
。。。
不知多少分钟之后,无意在cnvd上看到有人提交了这个系统的相关报告,而且还是两个?!
这才下定决心想捋一捋这个系统。
0x01 CNVD 的报告和厂商的补丁
先看看 CNVD 上的报告是怎么写的吧?
报送时间 10-23 号,挺早的呀。。。
get 到一个点,后台登录处存在sql注入~
在看看另外一份怎么写的?
哎呀,24 号,你两真有缘。
这份报告应该是系统的审了,发现了多个参数。怕是日穿了,厂商也出了补丁。
最新版是 12.1 号的。
0x03 新旧版本对比
因为我之前已经看过了旧版本的代码,也知道旧版本多参数存在注入的问题所在。
旧版本的参数过滤都是使用了这么个函数
这个函数是作者自定义的,跟进去
global.common.php
会发现用的是 htmlentities来过滤,注意函数后面第二个参数用得是 ENT_NOQUOTES。这意味着什么呢?
用函数 htmlentitiesdm 过滤的都是只将<,>编码为实体字符而已。而单双引号完美被忽视了。
那么这个过滤有何意义啊?或许作者是想着来防xss的?!
也就是说用这个函数过滤的输入,只要带到数据库前没有做过滤的都是存在注入的。。
比如CNVD第一份报告说的,后台登陆存在注入??
看到代码login.php
只是用 htmlentitiesdm 过滤了一下就不再过滤了,直接带进数据库,注入杠杠的。
还有第二份报告所说的多个参数注入,怕就是用了这个函数进行过滤的各个参数吧,这里就不再一一去找了。
让我们把目光放到新版本上。
打开神器beyond compare,加载新旧两个版本。
会发现做了很多更改。
我们单刀直入直接看看 global.common.php,看看函数 htmlentitiesdm 有没有做修改?
会发现从 ENT_NOQUOTES 变成了 ENT_QUOTES。
也就是从不编码任何引号变成了编码所有引号。
也就是说这一改变把CNVD上面的两个洞都修复了。
login.php 后台登陆注入的
以及其他的输入参数,都是换成了用 htmlentitdm 来过滤了。
不一一举例。
0x04 新版依旧存在sql注入
在对比完新旧版本之后,我就开始笑了。因为我找的几个sql注入漏洞,都没有修复。
哈哈,我也有手握0day的时候了!
1,常见的getip()函数过滤不全或者没有过滤,导致sql注入
先看旧版的 global.common.php , 很明显没有任何过滤
看看哪里用了这个函数?在前台找到两个地方
其中 file_formpost_concat 是用来留言的,file_order_post.php是用来下单的。‘
在我测试发现,只有留言这个功能可以用。
看代码,旧版是content和tokenhour参数都有注入的
新版的过滤掉了。
但获取ip这里是没有变的。
那么这里是可以拿到一个布尔类型的注入。(因为这里没有回现位)
直接 sqlmap 跑了
2,后台认证判断存在注入,可直接绕过登陆
看最新版本后台认证处 admindm-yourname/config-a/common.inc2010.php
左新右旧,可以看到是没有什么改变的。
而我们仔细分析一下这段代码:
因为这里的cookie是可控的,我们可以直接进行注入,甚至不用注出密码,直接进行绕过登陆了。
我们分析代码,可以得出这样的结论。
为什么userps 也是可控的呢?因为这里存在注入啊。
通过注入,我们可以让返回的密码为我们自己输入的。
那么就可以直接构造cookie,以管理员的身份登陆进去了。
比如,我们用ps 为1 ,id 为 注入语句的cookie。
根据公式
usercookiecompare = userid-md5(userps,cookiesecet)
先构造md5部分:
那么我们的usercookie就是
7' and 1=2 union select null,null,null,null,null,1,null,null,null,null,null,null,null #-7b0bbade54ef65e2a830c034d0d14e61
把三个cookie搬上,访问一下/admindm-yourname/mod_common/index-welcome.php?lang=cn 便可直接进入后台
时间原因,就不再看其他问题了。
肯定还有其他很多问题,代码这么乱,出错的几率也增高了不少。
0x05 总结
总的来说,这是一套比较简单的cms,适合我们这种新手。
不知道为什么这么简单的CMS,还可以刷CNVD,CNVD真的这么简单吗?!
DM企业建站系统v201710 sql注入漏洞分析 | 新版v201712依旧存在sql注入的更多相关文章
- [代码审计]DM企业建站系统v201710 sql注入漏洞分析 | 新版v201712依旧存在sql注入
0x00 前言 本来呢,这套CMS都不想审的了.下载下来打开一看,各种debug注释,排版烂的不行. 贴几个页面看看 感觉像是新手练手的,没有审下去的欲望了. 但想了想,我tm就是新手啊,然后就继续看 ...
- PHPCMS \phpcms\modules\member\index.php 用户登陆SQL注入漏洞分析
catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述2. 漏洞触发条件 0x1: POC http://localhost/p ...
- Beescms_v4.0 sql注入漏洞分析
Beescms_v4.0 sql注入漏洞分析 一.漏洞描述 Beescms v4.0由于后台登录验证码设计缺陷以及代码防护缺陷导致存在bypass全局防护的SQL注入. 二.漏洞环境搭建 1.官方下载 ...
- SpringBoot SpEL表达式注入漏洞-分析与复现
目录 0x00前言 0x01触发原因 0x02调试分析 0x03补丁分析 0x04参考文章 影响版本: 1.1.0-1.1.12 1.2.0-1.2.7 1.3.0 修复方案:升至1.3.1或以上版本 ...
- Vtiger CRM 几处SQL注入漏洞分析,测试工程师可借鉴
本文由云+社区发表 0x00 前言 干白盒审计有小半年了,大部分是业务上的代码,逻辑的复杂度和功能模块结构都比较简单,干久了收获也就一般,有机会接触一个成熟的产品(vtiger CRM)进行白盒审计, ...
- 【代码审计】大米CMS_V5.5.3 SQL注入漏洞分析
0x00 环境准备 大米CMS官网:http://www.damicms.com 网站源码版本:大米CMS_V5.5.3试用版(更新时间:2017-04-15) 程序源码下载:http://www ...
- 【代码审计】五指CMS_v4.1.0 copyfrom.php 页面存在SQL注入漏洞分析
0x00 环境准备 五指CMS官网:https://www.wuzhicms.com/ 网站源码版本:五指CMS v4.1.0 UTF-8 开源版 程序源码下载:https://www.wuzhi ...
- 【代码审计】五指CMS_v4.1.0 后台存在SQL注入漏洞分析
0x00 环境准备 五指CMS官网:https://www.wuzhicms.com/ 网站源码版本:五指CMS v4.1.0 UTF-8 开源版 程序源码下载:https://www.wuzhi ...
- 【代码审计】iZhanCMS_v2.1 前台IndexController.php页面存在SQL注入 漏洞分析
0x00 环境准备 iZhanCMS官网:http://www.izhancms.com 网站源码版本:爱站CMS(zend6.0) V2.1 程序源码下载:http://www.izhancms ...
随机推荐
- Flask-admin 笔记一 (快速启用)
1,快速启用 1) 安装flask-admin pip install flask-admin 2) 配置使用 from flask import Flask from flask_admin i ...
- 最短路算法之Dijkstra算法通俗解释
Dijkstra算法 说明:求解从起点到任意点的最短距离,注意该算法应用于没有负边的图. 来,看图. 用邻接矩阵表示 int[][] m = { {0, 0, 0, 0, 0, 0}, {0, 0, ...
- Zookeeper 集群安装
负载均衡(Load Balance)是分布式系统架构设计中必须考虑的因素之一,它通常是指,将请求/数据[均匀]分摊到多个操作单元上执行,负载均衡的关键在于[均匀].常见互联网分布式架构如上,分为客户端 ...
- C. Kyoya and Colored Balls(Codeforces Round #309 (Div. 2))
C. Kyoya and Colored Balls Kyoya Ootori has a bag with n colored balls that are colored with k diffe ...
- WARNING: Re-reading the partition table failed with error 16: Device or resource busy.
在 mkfs.ext4 /dev/sda2 格式化硬盘空间时,可能出现这种错误. had this situation at office where I was told to re-partiti ...
- C++11新特性应用--介绍几个新增的便利算法(不更改容器中元素顺序的算法)
总所周知.C++ STL中有个头文件,名为algorithm.即算法的意思. The header<algorithm>defines a collection of functions ...
- Android binder学习一:主要概念
要看得懂android代码,首先要了解binder机制.binder机制也是android里面比較难以理解的一块,这里记录一下binder的重要概念以及实现.作为备忘. 部分内容来源于网上,如有侵权. ...
- Codeforces Round #261 (Div. 2)459D. Pashmak and Parmida's problem(求逆序数对)
题目链接:http://codeforces.com/contest/459/problem/D D. Pashmak and Parmida's problem time limit per tes ...
- Javascript--cookie创建与查看
创建cookie 以下代码将创建一个cookie,该cookie名称为UserName,值为Paul,过期时间为7天后(2015年6月29日) <span style="font-si ...
- 游戏AI(二)—行为树优化之
上一篇我们讲到了AI架构之一的行为树,本篇文章和下一篇文章我们将对行为树进行优化,在本篇文章中我们讲到的是内存优化 问题 上一篇中我们设计的行为树由于直接采用new进行动态内存分配,没有自己进行管理. ...