已经有人写出一些工具了,但是感觉不怎么好用,就自己写了个. 参数:1.可直接getshell2.爆管理账号密码3.爆表前缀如果表前缀不是默认的cdb_ 只需更改代码中的 $table即可,方便快捷. 下载地址:DZ7.2 附代码: <?php   /**  * @author: xiaoma  * @blog  : www.i0day.com  * @date  : 2014.7.2 23:1  */   error_reporting(0); set_time_limit(3000); $ho…

在<高级PHP应用程序漏洞审核技术>[1]一文里的"魔术引号带来的新的安全问题"一节里,有 提到通过提取魔术引号产生的“\”字符带来的安全问题,同样这个问题在这里又一次完美体 现,如下面的代码片段: // foo.php?xigr='ryat function daddslashes($string, $force = 0) { !defined('MAGIC_QUOTES_GPC') && define('MAGIC_QUOTES_GPC', get_ma…

6.2号码(可能更早)上网本见exp,是一家discuz 7.2的sql注入漏洞 经过反复研究.最高在线人数exp它们存在于这些或那些问题,经过我自己的使用和变更摘要,使用的方法如以下: Discuz 7.2 /faq.php SQL注入漏洞 1.获取数据库版本号信息 faq.php? action=grouppermission&gids[99]='&gids[100][0]=) and (select 1 from (select count(*),concat(version(),f…

测试方法: 提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!   Discuz 7.2 /faq.php SQL注入漏洞   http://www.xxx.com/faq.php?action=grouppermission&gids[99]='&gids[100][0]=) and (select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tab…

前言 前面已经说明了 漏洞成因,这里介绍一下 exp 的编写. 正文 为了 getshell 或者是 任意文件下载, 我们需要修改 数据库中的 前缀sys_file 表, 所以我们的利用方式如下 使用 sql 注入 获取程序数据库中任何一个表名, 取得前缀 pre 然后向 presys_file 中插入目标路径. 在 mysql 5 中可以使用 information_schema  来获取指定数据库中的表. 在  information_schema   中的 tables 表里面存放着整个…

最近看java框架源码也是看的有点头疼,好多还要复习熟悉 还有好多事没做...慢慢熬. 网上好像还没有特别详细的分析 我来误人子弟吧. 0x01 tp3 中的exp表达式 查询表达式的使用格式: $map['字段名'] = array('表达式','查询条件'); 表达式不分大小写,支持的查询表达式有下面几种,分别表示的含义是: 重点看exp EXP表达式支持SQL语法查询 sql注入非常容易产生. $map['id'] = array('in','1,3,8'); 可以改成: $map['id…

0x01漏洞描述 Discuz!X全版本存在SQL注入漏洞.漏洞产生的原因是source\admincp\admincp_setting.php在处理$settingnew['uc']['appid']参数时未进行完全过滤,导致出现二次注入.在特定条件下,攻击者可以利用该漏洞获取服务器权限. 0x02影响范围 Discuz! X系列全版本,截止Discuz!X最新的Discuz! X3.4 R20191201版本 0x03漏洞详情 (1)\source\admincp\admincp_setti…

避免SQL注入 什么是SQL注入 SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞.可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限. 而造成SQL注入的原因是因为程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者精心构造的恶意代码. SQL…

0x01 背景 现在的WEB应用对SQL注入的防护基本都是判断GPC是否开启,然后使用addlashes函数对单引号等特殊字符进行转义.但仅仅使用这样的防护是存在很多盲点的,比如最经典的整型参数传递,也即被带入数据库查询的参数是整型.数组中的key没过滤被带入了查询以及全局过滤了GET.POST但没过滤SERVER或COOKIE引发的注入.所以看似有全局防护,实则隐藏了很多“后门”-盲点如下:①注入点类似id=1这种整型的参数就会完全无视GPC的过滤:②注入点包含键值对的,那么这里只检测了val…

尽管现在呼吁所有的程序都使用unicode编码,所有的网站都使用utf-8编码,来一个统一的国际规范.但仍然有很多,包括国内及国外(特别是非英语国家)的一些cms,仍然使用着自己国家的一套编码,比如gbk,作为自己默认的编码类型.也有一些cms为了考虑老用户,所以出了gbk和utf-8两个版本. 我们就以gbk字符编码为示范,拉开帷幕.gbk是一种多字符编码,具体定义自行百度.但有一个地方尤其要注意: 通常来说,一个gbk编码汉字,占用2个字节.一个utf-8编码的汉字,占用3个字节.在php中…

今早有国外安全研究人员在Twitter上曝出了Drupal 7.31版本的最新SQL注入漏洞,并给出了利用测试的EXP代码. 在本地搭建Drupal7.31的环境,经过测试,发现该利用代码可成功执行并在数据库中增加一个攻击者自定义的用户. 测试代码:(请勿用于非法用途) POST /drupal-7.31/?q=node&destination=node HTTP/1.1 Host: 127.0.0.1 User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x8…

说到网站安全就不得不提到SQL注入(SQL Injection),如果你用过ASP,对SQL注入一定有比较深的理解,PHP的安全性相对较高,这是因为MYSQL4以下的版本不支持子语句,而且当php.ini里的 magic_quotes_gpc 为On 时. 提交的变量中所有的 ' (单引号), " (双引号), \ (反斜线) and 空字符会自动转为含有反斜线的转义字符,给SQL注入带来不少的麻烦. 请看清楚:“麻烦”而已~这并不意味着PHP防范SQL注入,书中就讲到了利用改变注入语句的编码来…

漏洞版本: phpcms 2008 漏洞描述: phpcms2008 是一款基于 PHP+Mysql 架构的网站内容管理系统,也是一个开源的 PHP 开发平台. phpcms 2008的preview.php文件在接受参数info[contentid]字段时没有合适的过滤,导致SQL注入漏洞. <* 参考 http://www.wooyun.org/bugs/wooyun-2013-022112 http://0day5.com/archives/985http://sebug.net/appd…

安全防御:过滤/转义非法参数,屏蔽SQL查询错误. 工具:Firefox,hackbar,sqlmap,burpsuite 1.联想tms站 例1, 联想tms站fromCity参数存在普通SQL注入 提交,fromCity=6F9619FF-8A86-D011-B42D-00004FC964FF’ UNION SELECT user— 结果,数据库用户名信息泄露:swwl,而且,web物理路径也泄露,如图:…

PHP防止SQL注入和XSS攻击PHP防范SQL注入是一个非常重要的安全手段.一个优秀的PHP程序员除了要能顺利的编写代码,还需要具备使程序处于安全环境下的能力.说到网站安全,就不得不提到SQL注入(SQL Injection),如果你用过ASP,那么对SQL注入一定有比较深的理解.PHP的安全性相对较高,这是因为MYSQL4以下的版本不支持子语句,而且当php.ini里的 magic_quotes_gpc 为On 时,提交的变量中所有的 ' (单引号), " (双引号), \ (反斜线) an…

Recently, 团队在做一个关于SQL的项目,这个专题是项目中的一部分,该部分正是由我来负责的.今天,分享给正在奋斗中的伙伴们,愿,你们在以后的学习道路中能有自己的收获.                                 神奇的MySQL SQl注入漏洞产生的原因 程序编写者在处理应用程序和数据库交互时,使用字符串拼接的方式构造SQL语句. 未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL查询语句中. SQl注入分类 联合查询注入 基于布尔的盲注 基于时间的盲注 基于…

用户名: __________ 密码:——————— 假如没有使用预处理的Statement 对象 拼接字符串查数据库的话,易收到sql注入攻击: 例如说 : mysql 中   #代表的是单行注释 SELECT * FROM t_users WHERE EID=''OR 1=1 #' AND EName='missli' 你在用户名输入框中 只要填写  'OR 1=1 #  这个用户名,那么无论怎么验证 都会通过的! 甚至更邪恶一点的你可以在输入框中填写  'OR 1=1 ;Drop  t_u…

原帖地址:https://xianzhi.aliyun.com/forum/read/349.html 0x00 前言 去年到现在就一直有人希望我出一篇关于waf绕过的文章,我觉得这种老生常 谈的话题也没什么可写的. 很多人一遇到waf就发懵,不知如何是好,能搜到的各 种姿势也是然并卵. 但是积累姿势的过程也是迭代的,那么就有了此文,用来总 结一些学习和培养突破waf的思想. 可能总结的并不全,但目的并不是讲那些网上 搜来一大把的东西,So…并不会告诉大家现有的姿势, 而是突破Waf Bypas…

0x00 前言 该漏洞源于某真实案例,虽然攻击没有用到该漏洞,但在分析攻击之后对该版本的cmf审计之后发现了,也算是有点机遇巧合的味道,我没去找漏洞,漏洞找上了我XD thinkcmf 已经非常久远了,该版本看github上的更新时间已经是4年前了,也就是2014年的时候,那时候我没学安全呢... 0x01 前台sql注入 前台在登录方法中存在注入,thinkcmf是基于thinkphp3.2写的,直接看 文件application\User\Controller\LoginController…

背景 模拟环境还是 bWAPP,只不过这个bWAPP的SQL注入有点多,一一写意义不大,在这边就利用这个环境来尝试一些SQL注入的技巧.并研究下PHP的防御代码. 普通的bWAPPSQL注入的简单介绍 从get型search到CAPTCHA 简单级 #search http://192.168.195.195/bWAPP/sqli_1.php?title=c%%27union%20select%201,2,3,version(),database(),6,%27&action=search #s…

0x00 前言 问题发生在user.php的的显示函数,模版变量可控,导致注入,配合注入可达到远程代码执行 0x01 漏洞分析 1.SQL注入 先看user.php的$ back_act变量来源于HTTP_REFERER,我们可控. 分配函数用于在模版变量里赋值 再看显示函数, 读取user_passport.dwt模版文件内容,显示解析变量后的HTML内容,用_echash做分割,得到$ķ然后交给isnert_mod处理,由于_echash是默认的,不是随机生成的,所以$ VAL内容可随意控制…

备忘录(一) 拿起小本本记下常考知识点. 常用连接词 and && %23%23 且 or || %7c%7c 或 xor 非 Access 数据库: 只能爆破表名.列名获取数据.无法用盲注等 数据主要存储在mdb.sap文件内 0x01 手工: 先判断字段数: order by xx 在使用联合查询猜测表名列名: 前后两个子查询返回的结构必须相同,且数据类型必须相同,故常用NULL 猜表:union select 1,2,3,xx 猜列:union select 1,2,password…

   1.     漏洞描述 ThinkCMF是一款基于ThinkPHP+MySQL开发的中文内容管理框架,其中X系列基于ThinkPHP 3.2.3开发,最后更新到2.2.2版本.最近刚好在渗透测试项目中遇到这个CMS,便审了下源码发现多处SQL注入漏洞,在Github给项目方提issues后,提交到CVE官方后很快就拿到了分配的多个编号:CVE-2018-19894.CVE-2018-19895.CVE-2018-19896.CVE-2018-19897.CVE-2018-19898. 2.…

我们真的了解SQL注入吗? 不管用什么语言编写的Web应用,它们都用一个共同点,具有交互性并且多数是数据库驱动.在网络中,数据库驱动的Web应用随处可见,由此而存在的SQL注入是影响企业运营且最具破坏性的漏洞之一.SQL注入,包括常规注入场景.exp表达式注入场景.Action参数绑定注入场景和组合注入. 推荐1   Thinkphp where注入(ThinkPHP框架审计 )  << 点击获取   ThinkPHP是一个快速.简单的基于MVC和面向对象的轻量级PHP开发框架,遵循Apach…

在网上找了一篇关于sql注入的解释文章,还有很多技术,走马观花吧 文章来源:http://www.2cto.com/article/201310/250877.html ps:直接copy,格式有点问题~ 大家早上好!今天由我给大家带来<web安全之SQL注入篇>系列晨讲,首先对课程进行简单介绍,SQL注入篇一共分为三讲:       第一讲:“纸上谈兵:我们需要在本地架设注入环境,构造注入语句,了解注入原理.”:       第二讲:“实战演练:我们要在互联网上随机对网站进行友情检测,活学活…

这个漏洞本是2014年时候被人发现的,本着学习的目的,我来做个详细的分析.漏洞虽然很早了,新版的Drupal甚至已经改变了框架的组织方式.但是丝毫不影响对于漏洞的分析.这是一个经典的使用PDO,但是处理不当,导致SQL语句拼接从而导致注入的问题.从这个问题,以及以往我见过的很多的漏洞来看,我不得不说,代码底层做的再安全,过滤的再完全,如果程序员的一个不小心,也将会导致重大安全问题的出现.多少的编码绕过,逻辑漏洞正是不小心带来的问题.   0x00 注入的定位   首先我根据网络上已经出现过的EX…

我的WafBypass之道(SQL注入篇) Web安全 作者:先知技术社区   2016-11-23  7,566   [本文转自安全脉搏战略合作伙伴先知技术社区 原帖地址  安全脉搏编辑huan9740整理发布] 0x00 前言 去年到现在就一直有人希望我出一篇关于waf绕过的文章,我觉得这种老生常 谈的话题也没什么可写的. 很多人一遇到waf就发懵,不知如何是好,能搜到的各 种姿势也是然并卵. 但是积累姿势的过程也是迭代的,那么就有了此文,用来总 结一些学习和培养突破waf的思想. 可能总结…

ThinkPHP Builder.php SQL注入漏洞(<= 3.2.3) ref:https://www.jianshu.com/p/18d06277161e TimeSHU 2018.04.21 02:03* 字数 761 阅读 23评论 2喜欢 0 ThinkPHP Builder.php SQL注入漏洞(<= 3.2.3)的一次漏洞复现作业 ------------------------------------------------------------- 1.进入docker…

如下controller即可触发SQL注入: code 区域 public function test() { $uname = I('get.uname'); $u = M('user')->where(array( 'uname' => $uname ))->find(); dump($u); } 为什么?我们看看代码.我从github下载的最新源码:https://github.com/liu21st/thinkphp/ThinkPHP/Library/Think/Db/Drive…

大家早上好!今天由我给大家带来<web安全之SQL注入篇>系列晨讲,首先对课程进行简单介绍,SQL注入篇一共分为三讲:        第一讲:“纸上谈兵:我们需要在本地架设注入环境,构造注入语句,了解注入原理.”:        第二讲:“实战演练:我们要在互联网上随机对网站进行友情检测,活学活用,举一反三”:        第三讲:“扩展内容:挂马,提权,留门.此讲内容颇具危害性,不予演示.仅作概述”.     这个主题涉及的东西还是比较多的,结合我们前期所学.主要是让大家切身体会一下,管中…