beescms

最新推荐文章于 2024-07-08 10:54:03 发布
最新推荐文章于 2024-07-08 10:54:03 发布
阅读量770 收藏 1
点赞数
分类专栏: 代码审计 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a21536545645/article/details/120402536
版权

一, 登陆处sql注入

elseif($action=='ck_login'){
	global $submit,$user,$password,$_sys,$code;
	$submit=$_POST['submit'];
	$user=fl_html(fl_value($_POST['user']));
	$password=fl_html(fl_value($_POST['password']));
	$code=$_POST['code'];
	if(!isset($submit)){
		msg('请从登陆页面进入');
	}
	if(empty($user)||empty($password)){
		msg("密码或用户名不能为空");
	}
	if(!empty($_sys['safe_open'])){
		foreach($_sys['safe_open'] as $k=>$v){
		if($v=='3'){
			if($code!=$s_code){msg("验证码不正确!");}
		}
		}
		}
	check_login($user,$password);
	
}

可以看到登陆处用fl_values()和fl_html()对输入的username和password进行了检测,跟进这两个函数

function fl_value($str){
	if(empty($str)){return;}
	return preg_replace('/select|insert | update | and | in | on | left | joins | delete |\%|\=|\/\*|\*|\.\.\/|\.\/| union | from | where | group | into |load_file
|outfile/i','',$str);
}

function fl_html($str){
	return htmlspecialchars($str);
}

可以看到fl_value()把常用的注入函数替换为空,但是只替换了一次,可以用双写绕过。fl_html()实际上就是用htmlspecialchars()进行过滤,可以看到对单引号实际上没有过滤的。
在这里插入图片描述
再继续跟进chek_login()函数

function check_login($user,$password){
	$rel=$GLOBALS['mysql']->fetch_asc("select id,admin_name,admin_password,admin_purview,is_disable from ".DB_PRE."admin where admin_name='".$user."' limit 0,1");	
	$rel=empty($rel)?'':$rel[0];
	if(empty($rel)){
		msg('不存在该管理用户','login.php');
	}
	$password=md5($password);
	if($password!=$rel['admin_password']){
		msg("输入的密码不正确");
	}
	if($rel['is_disable']){
		msg('该账号已经被锁定,无法登陆');
	}
	
	$_SESSION['admin']=$rel['admin_name'];
	$_SESSION['admin_purview']=$rel['admin_purview'];
	$_SESSION['admin_id']=$rel['id'];
	$_SESSION['admin_time']=time();
	$_SESSION['login_in']=1;
	$_SESSION['login_time']=time();
	$ip=fl_value(get_ip());
	$ip=fl_html($ip);
	$_SESSION['admin_ip']=$ip;
	unset($rel);
	header("location:admin.php");
}

因为这里是把用户和密码分开检验的,所有没有万能密码。可以看到username在拼入sql语句的时候是被单引号包裹的,经过前面分析直到单引号不会被转义,所有可以闭合!所以可以进行利用了!
payload:1’or extractvalue(1,(seselectlect @@basedir))#
在这里插入图片描述

二,文件上传

后台图片上传处,随便上传一个图片抓包,发现是这个函数进行处理
在这里插入图片描述
跟进这个函数
在这里插入图片描述
可以看到调用了up_img()进行检测,定位这个函数
在这里插入图片描述检测上传的的mime类型是否在白名单中,这个就很好绕过了!直接修改mime类型绕过

三,变量覆盖绕过登录检测

先找出那个函数对登录状态进行了检测,发现在admin目录下的文件都包含了init.php这个文件,那我们进入这个文件看看
在这里插入图片描述发现这个文件里面并没有检测登录状态,但是包含了一个fun.php文件,感觉很可疑,进去看看
在这里插入图片描述果不其然,在这里进行了检测,那我们要想绕过检测就必须要满足条件。在这里插入图片描述

可以看到这个文件里面有extract()函数,跟进
在这里插入图片描述
ok,有思路了,直接访问这个文件然后post进行变量覆盖在这里插入图片描述
然后访问后台,登录成功
在这里插入图片描述

HTSsec
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BeesCMS的SQL注入漏洞
Ms08067安全实验室
08-06 3602
本文作者:arakh(MS08067实验室Web安全攻防知识星球学员)根据星球布置作业,完成BeesCMS的SQL注入漏洞过程如下:1. 扫描后台 获得后台登陆地址:2. 登陆后台...
mysql注入审计_【代码审计】对Beescms SQL注入漏洞的进一步思考
weixin_35638218的博客
01-28 369
0x02 Mysql注入的一个特性上篇分析到,由于函数fl_html()的影响,其实就是php函数htmlspecialchars(),导致不能写shell到目标机器。其实这里利用Mysql注入的一个特性就可以达到注入的效果。即对shell部分进行Hex编码,或者用mysql函数char()就可以轻松绕过这里的限制。方法一 hex编码我们写入shell的语句是:[SQL] 纯文本查看 复制代码us...
BEESCMS企业网站管理系统源码 v4.0.zip
07-06
BEESCMS企业网站管理系统拥有简单方便的模板标签,能够快速做出模板;自定义表单,自定义模型,内置新闻、下载、产品、招聘、单页模型;SEO功 能,每个页面都可以单独SEO优化;多语言,多风格,每种语言每个页面都可以定义风格;html静态页面生成功能;BEES还可以自定义flash引导页。 BEESCMS企业网站管理系统源码 v4.0 更新日志 修复:留言本内容截取问题; 程序:去除HTML生成,更改为伪静态; 程序:增加手机版本,标签、模板和电脑版一样; 程序:优化一部分后台功能; 模板:新增默认手机模板; 修复:其它一些BUG。 BEESCMS企业网站管理系统源码主要特性 1、支持多种语言 BEES支持多种语言,后台添加自动生成,可为每种语言分配网站风格。 2、功能强大灵活 BEES除内置的文章、产品等模型外,还可以自定义生成其它模型,满足不同的需求 3、自定义表单系统 BEES可自定义表单系统,后台按需要生成,将生成的标签加到模板中便可使用。 4、模板制作方便 采用MVC设计模式实现了程序与模板完全分离,分别适合美工和程序员使用。 5、用户体验好 前台、后台、会员中心模板都采用 DIV CSS,兼容 IE 和 Firefox 浏览器,访问速度快。 6、支持用户反馈信息 7、SEO优化 可设置网站SEO参数及所有页面SEO信息,如关键词、页面描述等; 可全站生成静态html页面 8、输出内容全部后台设置 BEESCMS企业网站管理系统源码截图 相关阅读 同类推荐:企业网站源码
JA-awd-beecms
静水流深,沧笙踏歌
06-04 542
1.sql注入写shell admin\login.php 萌新被坑,后端有过滤危险字符,连着空格一起过滤,要注意单词间的空格。 代码分析: fl_value()函数过滤危险字符 fl_html函数把把一些预定义的字符转换为 HTML 实体: & (和号)成为 & " (双引号)成为 " ’ (单引号)成为 ’ < (小于)成为 < > (大于)成为 &...
Beescms网站渗透测试
最新发布
glitter_12的博客
07-08 665
beescms网站渗透测试,本实验有靶场环境的搭建过程及beescms网站渗透测试过程
BEESCMS企业网站管理系统 3.4.rar
05-27
BEESCMS企业网站管理系统拥有简单方便的模板标签,能够快速做出模板;自定义表单,自定义模型,内置新闻、下载、产品、招聘、单页模型;SEO功 能,每个页面都可以单独SEO优化;多语言,多风格,每种语言每个页面都可以定义风格;html静态页面生成功能;BEES还可以自定义flash引导页。BEES企业网站管理系统是一个基于PHP Mysql架构的企业网站管理系统。BEES采用模块化方式开发,功能强大灵活易于扩展,并且完全开放源代码,多种语言分站,为企业网站建设和外贸提供解决方案。 BEESCMS企业网站管理系统 3.4 更新内容:2014-04-09 修复:后台内容列表删除没反应的问题 程序:表单增加验证码 程序:默认增加一个反馈表单 程序:搜索功能更改为只搜索产品内容 模板:更改默认模板风格 主要特性: 文章/产品等多内容 拥有文章、产品、下载、招聘、订单等企业网站内容模型,同时还可以自定义内容模型。 在线QQ/旺旺等营销客服 可以添加企业QQ、淘宝、阿里巴巴、MSN等多种客服,采用分组管理,一次添加多次使用 多语言外贸/多语言内容同时发布 可以自定义多种语言,使用不同的风格,内容可以同时发布到企业网站各类语言中。 多图上传/图文发布 同时上传多张企业产品图片,分类管理图片,一次上传多次使用,可视化编辑,排版更容易。 seo优化/生成静态html页面 后台seo功能,可以优化到产品图片。全站生成html页面,并且可以自定义生成的页面名称 模板/友情链接/留言/反馈/会员等多系统 模板和程序完全分离,后台可以直接修改管理模板。多种内置系统完全满足企业需求。
BEESCMS企业网站管理系统 4.0
04-30
BEESCMS企业网站管理系统,SEO优化更快,无功能限制,后台上手容易,各类行业模板供选择使用!全面支持手机网站,电脑手机模板标签全部通用,一个后台管理,电脑、手机网站同步更新。BEESCMS企业网站管理系统 4.0 更新日志:2016-05-25修复:留言本内容截取问题;程序:去除HTML生成,更改为伪静态;程序:增加手机版本,标签、模板和电脑版一样;程序:优化一部分后台功能;模板:新增默认手机模板;修复:其它一些BUG。
对beecms网站进行SQL注入和文件上传的报告:
weixin_73760178的博客
09-11 535
在这里可能会出现解密不成功的情况,那就是有可能是该代码的字符限制在了32位,没输出完,那么我们需要使用sub是、tr截断函数进行输出。如果发现没有SQL注入的,但是又没有验证码,那么就可以进行bp的intruder部分进行暴力破解——如flyocms2.0.6。在此不好使用联合注入,因为后面的limit的限制,但从中可以看出它报错报的很详细,所以使用报错注入。是对网站进行识别(识别指纹),也就是确定此网站是php的还是什么,根据指纹查找历史漏洞。通过查找它的源码,确定它的绕过规则。
BEESCMS企业网站管理系统 v3.3
05-17
BEESCMS企业网站管理系统拥有简单方便的模板标签,能够快速做出模板;自定义表单,自定义模型,内置新闻、下载、产品、招聘、单页模型;SEO功 能,每个页面都可以单独SEO优化;多语言,多风格,每种语言每个页面都...
BEESCMS企业网站管理系统 v3.3.zip
07-06
BEESCMS企业网站管理系统拥有简单方便的模板标签,能够快速做出模板;自定义表单,自定义模型,内置新闻、下载、产品、招聘、单页模型;SEO功 能,每个页面都可以单独SEO优化;多语言,多风格,每种语言每个页面都...
SQL注入讲解-BeesCMS系统漏洞分析溯源
Ryongao
02-06 1552
本文章仅限于网络安全教学,严禁用于非法途径。若有人因此作出危害网络安全行为后果自负,与本人无关。
BeesCMS系统漏洞分析溯源(墨者学院)
weixin_44300286的博客
05-13 1378
0x01、信息收集 拿到网站,先扫描目录,发现有后台登录界面 尝试登录,发现弱口令admin/admin成功进入后台 找到上传文件的地方准备文件上传 但是多次尝试都未能成功,就算普通图片也没法上传 0x02、sql注入 后来发现在登录界面有sql注入 经过尝试发现过滤了一些关键字 user=admin' uni union on seselectlect updatexml('1',concat('~',(seselectlect database())),'1')#&password=123
BeesCMS系统漏洞分析溯源
qq_45927819的博客
11-14 4985
先使用御剑扫一波,发现后台登录界面admin/login.php: 用户名一栏输入单引号,发现存在sql注入, 当输入admin’ or 1=1#后又返回正常的报错界面 看来闭合符号为单引号 注入开始: admin' union select 1,2,3,4,5# union 和select被过滤了 既然存在报错信息,我们就尝试报错注入,经过尝试and也被过滤了,and用an and d代替,union用un union ion代替,select用selselectect代替: 报错注入 adm.
墨者靶场 初级:BeesCMS系统漏洞分析溯源
qq_43233085的博客
01-16 2406
墨者靶场 初级:BeesCMS系统漏洞分析溯源题目背景介绍实训目标解题方向解题步骤 题目 背景介绍 某人搭建BeesCMS网站,邀请“墨者”安全工程师测试网站的安全性。 实训目标 1、了解BeesCMS; 2、了解此漏洞形成的原因; 3、掌握此漏洞的利用方式; 解题方向 根据网站目录,找到利用漏洞。 提示:网站位于"/var/www/html/"目录下。 解题步骤 启动靶机,访问链接,是个企业网...
JEECMS
weixin_40009737的博客
03-28 2687
基于JEECMS V9版 第一章系统前端开发简介 1.设计效果图 2.切图做好静态的html页面 3.套用标签替换静态文字图片等 第二章常用功能所用标签 1、栏目导航 一级导航条 导航栏目数据获取标签 <ul> <li> [@cms_channel_list] <a href="${base}/">首页</a> [#list tag...
【beescms】命令执行、报错注入
qq_51979295的博客
09-28 689
pwn的题死活下载不下来,今天写点别的,还有点别的洞没写,改天补上
besscms开源框架v3.4文件上传漏洞绕过&小迪安全第51天代码审计
DamnVanish的博客
10-01 520
besscms开源框架v3.4文件上传漏洞绕过&小迪安全第51天代码审计
代码审计:beescms 后台上传getshell复现
qq_43233085的博客
02-25 2706
代码审计:beescms 后台上传getshell复现beescms代码审计上传getshell beescms BEESCMS企业网站管理系统,SEO优化更快,无功能限制,后台上手容易,各类行业模板供选择使用!全面支持手机网站,电脑手机模板标签全部通用,一个后台管理,电脑、手机网站同步更新。 官网:http://www.beescms.com/ 下载:https://www.mycodes.ne...
BeesCMS系统漏洞分析
weixin_47493074的博客
09-25 2508
BeesCMS系统漏洞分析
Django session覆盖
05-05
Django session 的覆盖通常是指在同一个浏览器窗口或标签中,同时打开多个相同网站页面,然后在其中一个页面上进行登录或修改session,然后在另一个页面上进行操作时,之前的session信息被覆盖了。 这是因为Django的session是基于浏览器的cookie来实现的。当你在一个页面上进行登录或修改session时,Django会将session信息存储在cookie中,并将cookie发送到浏览器。浏览器会将cookie保存在本地,以便在后续的请求中将cookie发送回服务器。 当你在另一个页面上进行操作时,浏览器会将之前的cookie发送回服务器,服务器会读取cookie中的session信息并将其用于处理请求。如果在这个页面上进行的操作需要更新session信息,服务器会将新的session信息写回cookie中,并再次发送给浏览器。 如果你在另一个页面上进行了登录或修改session操作,服务器会将新的session信息写回cookie中,并覆盖之前的session信息。这就是Django session覆盖的原因。 为了避免Django session覆盖的问题,你可以在同一个浏览器窗口或标签中只打开一个相同网站页面,或者使用不同的浏览器窗口或标签来打开不同的相同网站页面。另外,你还可以使用不同的浏览器来避免Django session覆盖的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值