前言:
非常基础的代码审计练习的cms系统,适合有php基础的审计新手练习,当然了该套cms还有不少的其他漏洞,这里该篇文件只是介绍Union注入。
准备环境:
phpstudy工具
BlueCms1.6源码
Sublime编辑器安装了Ctags插件
代码审计:
首先主页面index.php代码如下,可以看到开头便引用了2个文件,一个是include/common.inc.php和include/index.fun.php文件。
这里做好标记即可,随后全局搜索$_GET函数,看通过该函数接收的参数,进行审计,运气
很好第一个文件里面的参数ad_id貌似没有进行过滤,我们找到文件点进去。
找到该文件点击进入,代码如下:
看到最开始也是包含了文件/include/commonc.inc.php继续看下面的代码,得知当前页面确实是对参数ad_id进行过滤,首先通过过函数trim()将变量$ad_id的首位去空,如果参数ad_id的值为空的话,则直接输出Error。否则就进入下面的语句进行判断,并且通过函数str_replace()过滤双引号字符等,但是通过sql代码得知,当前语句中参数$ad_id是数字型的,所以我们构造的sql语句是不需要进行闭合的,那么下面的str_replace()函数没太大用,最后输出$ad_contenet的值。
接下来进入包含文件/include/commonc.inc.php看看该文件做了什么操作。
可以判断该文件应该是全局文件,通过if语句判断是否开启了GPC转义,如果未开启GPC转义,则所有的$_POST,$_GET,$COOKIE,$REQUEST方法都进入到了deep_addslashes()函数。
跟进deep_addslashes()函数,代码如下:
将传入的参数首先判断是否为数组,如果是数组则进行遍历,最后进行addslashes()转义。
上面也和大家强调过了ad_js.php文件中$ad_id的注入是整型注入的,所以是不需要闭合单引号,那么这里的函数转义对我们其实也没影响的。接下来回到文件ad_js.php找到对应的函数进行跟踪,可以看到语句进入了函数getone()函数中。
跟进getone()函数,查看函数内容,传入的参数是$sql,就是sql语句,但是执行却是在函数query()中执行的。
跟进函数query() 查看函数内容得知传入sql语句,如果sql语句执行错误,则进入函数dbshow()中返回错误信息,跟进dbshow()函数
dbshow()函数的代码如下:
就是一个返回错误信息的功能,如果sql语句执行出错,直接返回sql语句。
那么此时我们打开浏览器,在本地搭建好BlueCms后,浏览器访问构造参数为ad_id=1'看到浏览器确实是返回了错误的信息,并且直接将执行的sql语句也进行了返回
由于是整型注入,所以我们直接构造语句:-1 union select 1,2,3,4,5,6,(select concat(admin_name,0x7e,pwd) from blue_admin) --+就可以爆出后台管理账号密码。
1283
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
