CMSEasySQL注入漏洞

最新推荐文章于 2024-08-13 02:05:11 发布
最新推荐文章于 2024-08-13 02:05:11 发布
阅读量1.4k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011453661/article/details/39029233
版权

 申明:分析分析,这个洞也不是我挖掘的。

 

漏洞定位在  /lib/default/archive_act.php  。感觉这个文件已经爆了好多问题了。


function orders_action() {
        $this->view->aid = trim(front::get('aid'));  //去除字符串首尾的空白字符给list->view-aid
        if (front::post('submit')) {
         $this->orders = new orders();
 
         $row = $this->orders->getrow("","adddate DESC");
 
         //var_dump(time());
 
         if($row['adddate'] && time() - $row['adddate'] <= intval(config::get('order_time'))){
 
         alerterror('操作频繁,请稍后再试');
 
         return;
 
         }
 
            if (front::$post['telphone'] == '') {
 
                alerterror('联系电话为必填!');
 
                return;
 
            }
 
            front::$post['mid'] = $this->view->user['userid'] ? $this->view->user['userid'] : 0;
 
            front::$post['adddate'] = time();
 
            front::$post['ip'] = front::ip();
 
            if (isset(front::$post['aid'])) {
 
                $aidarr = front::$post['aid'];
 
                unset(front::$post['aid']);
 
                foreach ($aidarr as $val) {
 
                    front::$post['aid'].=$val . ',';
 
                    front::$post['pnums'].=front::$post['thisnum'][$val] . ',';
 
                }
 
            } else {
 
                front::$post['aid'] = $this->view->aid;
 
            }
 
            if (!isset(front::$post['logisticsid']))
 
                front::$post['logisticsid'] = 0;
 
            front::$post['oid'] = date('YmdHis') . '-' . front::$post['logisticsid'] . '-' . front::$post['mid'] . '-' . front::$post['payname'];
 
             
 
            $insert = $this->orders->rec_insert(front::$post);
 
            if ($insert < 1) {
 
                front::flash($this->tname . lang('添加失败!'));
 
            } else {
 
             if (config::get('sms_on') && config::get('sms_order_on')) {
 
             sendMsg(front::$post['telphone'], config::get('sms_order'));
 
             }
 
             if (config::get('sms_on') && config::get('sms_order_admin_on') && $mobile = config::get('site_mobile')) {
 
             sendMsg($mobile, '网站在' . date('Y-m-d H:i:s') . '有新订单了');
 
             //echo 11;
 
             }
 
             $user = $this->view->user;
 
             if(config::get('email_order_send_cust') && $user['e_mail']){
 
             $title = "您在".config::get('sitename')."的订单".front::get('oid')."已提交";
 
             $this->sendmail($user['e_mail'], $title, $title);
 
             }
 
             if(config::get('email_order_send_admin') && config::get('email')){
 
             $title = '网站在' . date('Y-m-d H:i:s') . '有新订单了';
 
             $this->sendmail(config::get('email'), $title, $title);
 
             }
 
                if (front::$post['payname'] && front::$post['payname'] != 'nopay') {
 
                     
 
                    echo '<script type="text/javascript">alert("' . lang('orderssuccess') . ' ' . lang('现在转入支付页面') . '");window.location.href="' . url('archive/payorders/oid/' . front::$post['oid'], true) . '";</script>';
 
                }
 
                echo '<script type="text/javascript">alert("' . lang('orderssuccess') . '");window.location.href="' . url('archive/orders/oid/' . front::$post['oid'], true) . '";</script>';
 
            }
 
 
front::$post['ip'] = front::ip();
 
我们来看看这里的ip()函数:
 
static function ip() {
 
        if ($_SERVER['HTTP_CLIENT_IP']) {
 
            $onlineip = $_SERVER['HTTP_CLIENT_IP'];
 
        }
 
        elseif ($_SERVER['HTTP_X_FORWARDED_FOR']) {
 
            $onlineip = $_SERVER['HTTP_X_FORWARDED_FOR'];
 
        }
 
        elseif ($_SERVER['REMOTE_ADDR']) {
 
            $onlineip = $_SERVER['REMOTE_ADDR'];
 
        }
 
        else {
 
            $onlineip = $_SERVER['REMOTE_ADDR'];
 
        }
 
if(config::get('ipcheck_enable')){
 
if(!preg_match('/^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])$/', $onlineip)&&!preg_match('@^\s*((([0-9A-Fa-f]{1,4}:){7}(([0-9A-Fa-f]{1,4})|:))|(([0-9A-Fa-f]{1,4}:){6}(:|((25[0-5]|2[0-4]\d|[01]?\d{1,2})(\.(25[0-5]|2[0-4]\d|[01]?\d{1,2})){3})|(:[0-9A-Fa-f]{1,4})))|(([0-9A-Fa-f]{1,4}:){5}((:((25[0-5]|2[0-4]\d|[01]?\d{1,2})(\.(25[0-5]|2[0-4]\d|[01]?\d{1,2})){3})?)|((:[0-9A-Fa-f]{1,4}){1,2})))|(([0-9A-Fa-f]{1,4}:){4}(:[0-9A-Fa-f]{1,4}){0,1}((:((25[0-5]|2[0-4]\d|[01]?\d{1,2})(\.(25[0-5]|2[0-4]\d|[01]?\d{1,2})){3})?)|((:[0-9A-Fa-f]{1,4}){1,2})))|(([0-9A-Fa-f]{1,4}:){3}(:[0-9A-Fa-f]{1,4}){0,2}((:((25[0-5]|2[0-4]\d|[01]?\d{1,2})(\.(25[0-5]|2[0-4]\d|[01]?\d{1,2})){3})?)|((:[0-9A-Fa-f]{1,4}){1,2})))|(([0-9A-Fa-f]{1,4}:){2}(:[0-9A-Fa-f]{1,4}){0,3}((:((25[0-5]|2[0-4]\d|[01]?\d{1,2})(\.(25[0-5]|2[0-4]\d|[01]?\d{1,2})){3})?)|((:[0-9A-Fa-f]{1,4}){1,2})))|(([0-9A-Fa-f]{1,4}:)(:[0-9A-Fa-f]{1,4}){0,4}((:((25[0-5]|2[0-4]\d|[01]?\d{1,2})(\.(25[0-5]|2[0-4]\d|[01]?\d{1,2})){3})?)|((:[0-9A-Fa-f]{1,4}){1,2})))|(:(:[0-9A-Fa-f]{1,4}){0,5}((:((25[0-5]|2[0-4]\d|[01]?\d{1,2})(\.(25[0-5]|2[0-4]\d|[01]?\d{1,2})){3})?)|((:[0-9A-Fa-f]{1,4}){1,2})))|(((25[0-5]|2[0-4]\d|[01]?\d{1,2})(\.(25[0-5]|2[0-4]\d|[01]?\d{1,2})){3})))(%.+)?\s*$@', $onlineip)){
 
exit('来源非法');
 
}
 
}
 
        return $onlineip;
 
    }




Expl0it_
关注
cmseasy漏洞复现
qq_52223347的博客
03-10 4521
介绍 提供可视化编辑企业网站管理系统系统、网站模板、以及相关文档资料下载,网站系统完美运 行PHP7环境中。 官方网站: https://www.cmseasy.cn/ cmseasy_7.3.8 任意文件操作漏洞复现 cmseasy_7.6.3.2逻辑漏洞复现 "无需代码,自由拖拽布局,适应所有设备”是这个系统宣传的特色,后台自然地 存在自定义网站模板功能,这种功能中如果处理不当很可能造成文件任意读、写 或者删除的脆弱性问题,需要着重注意。 一 任意文件操作漏洞复现 进入管理界面–》模块 --》编辑模
easycms php7.1,cmseasy sql注入漏洞(无视防御)
weixin_35029527的博客
03-29 1051
cmseasy某处sql注入,无视防御从/celive/live/index.php开始:include('../include/config.inc.php');include_once(CE_ROOT . '/include/celive.class.php');$ac = addslashes($_GET['action']);if ($ac == '1') {$live = new cel...
cmseasy_5.5-SQL注入漏洞复现
m0_68533808的博客
08-12 706
由下面三幅图可知,Cookie安全码编码,加密,反序列化后就可以用getrow函数去使用数据库了。以未授权方式拿到Cookie安全码,并通过Cookie安全码拿到数据库中的账号和密码。注:这里的+和/都需要再次编码,不然会被url识别为空格进行截断,无法正常运行。在火狐上下载X-Forwarded-For Header插件。运行后得到先序列号,然后再加密后然后再编码后的一个值。注:此网站模板是开源的所以可以看到一些后台代码。进入后拿去 Cookie安全码。+变为%2b,/变为%2f。如下图所示,获取成功。
360 php SQL注入,CMSeasy SQL注入漏洞一发(bypass自身与360waf)
weixin_33800074的博客
04-11 460
### 简要描述:也不知道重复没有- -!### 详细说明:/lib/default/archive_act.php:```function respond_action() {include_once ROOT . '/lib/plugins/pay/' . front::$get['code'] . '.php';$payclassname = front::$get['code'];$pay...
cmseasy漏洞之未授权访问漏洞和sql注入漏洞
banliyaoguai的博客
08-10 1210
下图中到码对args参数首先经过了base64解码,然后经过了一个框架中所带xxtea_decrypt方法的解密,在之后到$user参数时又经过了一次反序列化,所以我们构造的payload就需要将上述过程反着来一遍这样当参数传入进来的时候才可以经过一列加解密转化为我们正常的注入语句。将其解压部署在服务器上后,访问\uploads\install这个路径,然后页面就会显示让你安装,然后按照页面提示修改php版本和mysql版本,然后设置你的数据库参数,最后设置你管理员账号密码就可以安装了。
cmseasy-sql注入
m0_65350813的博客
08-11 461
这段代码意思:拿到cookie码,将获得的grgs通过base64解码,xxtea_decrypt函数来解密,全部解密后,将参数进行反序列化(unserialize是反序列化函数),反序列化完后,放在getrow,这里getrow函数表示获取数据库一行。根据这个代码,我们考虑注入的一个条件,先是要拿到cookie,找到加密函数xxtea_encrypt。这是第一个漏洞,未授权账号密码,因为代码写的有问题,导致我可以通过代码审计获取到非法进入后台的方式。改:/>-----%2f +---->%2b。
Ajax post sql注入,cmseasy前台无需登录直接获取敏感数据的SQL注入(有POC证明)
weixin_39778582的博客
08-05 426
摘要cmseasy前台无需登录直接获取敏感数据的SQL注入cmseasy 前台无�cmseasy前台无需登录直接获取敏感数据的SQL注入cmseasy 前台无视gpc的sql注入我下载的是最新版本的cmseasy,之前有人提过这里的漏洞,官方进行了修补,但是越修补,越捉急,直接看代码:这里是注册函数的地方celive.class.php(480-497):function xajax_live()...
CmsEasy crossall_act.php SQL注入漏洞.md
04-08
CmsEasy crossall_act.php SQL注入漏洞.md
【Web】CmsEasy 漏洞复现
uuzeray的博客
11-25 1392
但p=system('xxx');却不能执行(没有disable_functions)账号密码都是admin admin,不知道为什么,这里就先当作是默认吧。在页面里post传g=phpinfo();(其实都是信息检索,能在网上搜到就行hhh)看到左边列表有模板,心里大概有数了哈。挺奇怪的,可能不是linux系统?进行一波历史漏洞的查。
CmsEasy 漏洞挖掘
hyun134340的博客
01-07 309
在index.php ,定义了一些常量,设置 文件包含的目录,和注册了自定义加载类。lib目录中前两个文件夹分别存放的是后台和前台的控制器。inc文件夹提供一些必要的支撑,数据库的操作,以及控制器的基类,模板渲染类。所有的控制器都继承于 act 类。同时他还给所有数据库的表,设计了相对应的操作,位于table文件夹下,此文件夹下的类也都继承于 table类。tool文件夹存放一些小工具,自定义函数,waf之类的,应用调度,也是在此文件夹处理。继续跟进入口文件。
CmsEasy_v5.7 代码执行漏洞复现
jie_a的博客
08-16 2481
环境安装这就不多说了,官网自己下载 CmsEasy_v5.7 我下载的6.0也能用。 首先网页长这样 然后在网址后面输入/admin进入后台登陆 登陆后台admin,admin 点击,模板–自定义标签—添加自定义标签–填写Payload—提交: Payload: 1111111111";}<?php phpinfo()?> 提交完要点击预览 附绕代码检测的一句话Payload: 11";}<?php assert($_POST[g]);?> 菜刀连接即可,他们说菜刀能连,我练
cmseasy最新版SQL注入漏洞+Bypass 360webscan方法
离别歌
04-11 946
先下载最新版(2015-03-18):http://ftp.cmseasy.cn/CmsEasy5.x/CmsEasy_5.5_UTF-8_20150318.zip 经过神器比对,发现最...
cmseazy5.5的漏洞复现(使用phpstudy进行本地部署)
最新发布
m0_64998040的博客
08-13 342
思考:尽管是跟着录屏做的复现,但是看着密密麻麻的代码和函数,如果不仔细观察的话很容易错看漏看。
网站内容管理系统--CMS相关漏洞复现
weixin_52263461的博客
03-08 2041
cmseasy7.3.8–文件读取漏洞复现步骤 首先准备一套源码,搭建在phpstudy中。 在php中 Mysql中创建cmseay7数据库 3. 再将准备好的源码,解压放到网站根目录 登录后台 账号:root 密码:root 进入到管理页面 --------------------模板--------------编辑模板----------------- 观察模板编辑功能,存在对模板的html文件的读取(查看)操作,对应到http请求可以明显看到可控参数。 开启bp抓包,进行查看
web安全-sql注入
先剃度再出家
01-28 3230
sql注入1、联合查询一、报错查询1、extractvalue(1,1)2、updatexml(1,1,1)3、floor() 1、联合查询 一、报错查询 1、extractvalue(1,1) 2、updatexml(1,1,1) 3、floor()
CmsEasy 5.5 cut_image 代码执行漏洞
acn19249的博客
06-15 809
3 CmsEasy 5.5 cut_image 代码执行漏洞 3.1 摘要 3.1.1 漏洞介绍 CmsEasy是一款基于PHP+MySQL架构的网站内容管理系统,可面向大中型站点提供重量级网站建设解决方案:拥有强大的内容发布模板自定义功能,可以通过模板自定义功能扩展出产品、新闻、招聘、下载等多种不同的内容发布及字段显示功能。可自定义网页标题、关键词、描述、URL路径等多种优化项,可自...
【网络安全】CmsEasy 漏洞挖掘
th3383193的博客
12-11 925
在index.php ,定义了一些常量,设置 文件包含的目录,和注册了自定义加载类。lib目录中前两个文件夹分别存放的是后台和前台的控制器。inc文件夹提供一些必要的支撑,数据库的操作,以及控制器的基类,模板渲染类。所有的控制器都继承于 act 类。同时他还给所有数据库的表,设计了相对应的操作,位于table文件夹下,此文件夹下的类也都继承于 table类。tool文件夹存放一些小工具,自定义函数,waf之类的,应用调度,也是在此文件夹处理。继续跟进入口文件。实例化了front对象,并调用。
漏洞复现CmsEasy crossall_act.php SQL注入漏洞
失心少年
07-28 227
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。本文所提供的工具仅用于学习,禁止用于其他!CmsEasy存在SQL注入漏洞,通过文件service.php加密SQL语句执行即可执行任何SQL命令。文件中得到了$key='cmseasy_sql’和加解密方法,构造请求获取密码md5。代码中构造参数sql,然后使用方法unlockString解码执行SQL语句。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值