wei php getshell,某开源框架从注入到Getshell

最新推荐文章于 2023-09-21 16:11:26 发布
最新推荐文章于 2023-09-21 16:11:26 发布
阅读量167 收藏
点赞数
文章标签: wei php getshell

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

*本文原创作者:sjy93812,未经许可禁止转载

0x00 前言

SemCms是一套开源外贸企业网站管理系统,主要用于外贸企业,兼容IE、Firefox 等主流浏览器。SemCms使用vbscript语言编写,结合iis运行。采用国际通用utf-8编码编写。

SemCms非常适合在外贸企业,电子商务互联网应用上使用,2009年12月首次发布以来,SemCms依靠出色的用户体验和领先的技术不断扩大外贸场占有率,目前在国内已经成为最受欢迎的英文外贸网站之一。

0x01 往事

Semcms曾被多次爆出有重大漏洞,然后好像最近又爆出了最新版本漏洞。这里我用最新版本复现一下,顺便看看如何修改。

74fcb65c03652c4dc749bddadc50d1b9.png

0x02 过程

这里在网上直接下载一套最新的代码,最新的代码版本为V2.3。

7455bb8843c5e52233dfc35f052daa83.png

第一处注入位置是在后台的找回密码处,这里我的链接是如下图所示的

fe7d321301a135e8abb97cd01464acd2.png

这里稍微有点困难的就是,这个后台的地址前四位是随机的,不过这里也不难拿到。

bb1d869921437fbe53f912596e338554.png

这里可以看到这里随机数只是取了26位,一共是四位只有26^4种可能,以现在计算机的运行速度很快就可以拿到。

然后我们就可以接触到这个注入点了。

d6002c72ca3e66c31e234011aa7ff4b1.png

这个功能对应的文件为web_mail.php这个文件,看一下代码这个漏洞是如何出现的

9bd3ac813a54a0ed7b6a0b01035327b7.png

在这里可以看到判断是否为空的时候这里做了过滤,但是在下面SQL语句拼接的时候却又忘记了过滤,直接使用了接收到的内容做了拼接。

这里拿到数据包测试一下:

e9f72d1fa32196085c045a2722d7f28f.png

7f759114ccffa2edfcab9d66353831b0.png

这里可以看到的确是可以注入的。这里我们发现可以直接构造语句,我们可以想到一个SQL直接写SHELL的神句。

构造以下的数据包:

7d5bf42d0d09d45f64550f13cd139d10.png

然后直接来执行测试

90e112559f95a05b77c327fb9877f9d8.png

执行完我们发现这里直接多处了一个文件,我们看一下这个文件的内容

5e30602cceb6925b291cd75f07beb7bf.png

这里面包含了我们在数据库中查询到的内容以及我们自定义写入的shell脚本,我们访问一下

f150f9578576eb8e27cbc6f815c0eae0.png

这里可以看到,利用SQL注入可以直接得到shell。

修复方式:

这里我们对输入的字符串进行过滤,如下图所示的修改。

8a36511534043faeaaa2885592fc6d46.png

db791182c58b766eb760dca3729ba245.png

这里可以看到现在并识别不了了。

第二处注入在登陆时,这里对传递的cookie值过滤有漏洞,这个文件在funtion.php里面。首先看一下代码,这里只是直接对两个获取到的值进行了html实体转义。然后就直接拼接了。

5c0ca29a2a0456c5879c94b560631294.png

这里我们对后台主界面直接进行请求,直接请求会显示账号密码错误。

dbbb2b5b1f1d04f2c88343a861711918.png

然后我们在cookie加入以上两个字段。这里为了直观一些,我把SQL语句直接打印出来。

这里如果是你输入单引号,这里的语句是如下所示的

abb62f123ec121b078d4b89a9897f625.png

我们可以想办法将第一个参数后面的引号转义掉,然后再把最后的全部注释掉这样前面就变成了一个参数,这样就可以直接登陆成功了。

5403fbd0dfdeadc1ce9201d0e25806b6.png

修复方式,这里我们对参数直接过滤掉所有的特殊字符

8b7ca10831474a7f0e0f01ebfa5d8aa1.png

141a28e79412b866771b9fd8ad9912eb.png

可以看到这里已经不能再直接登陆了。

希望使用该源码的站长第一时间修复掉这个漏洞。

*本文原创作者:sjy93812,未经许可禁止转载

haveuseemywreath
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
weiphp5.0存在远程代码执行漏洞
nnn2188185的博客
03-11 142
weiphp5.0存在远程代码执行漏洞
php缓存注入,利用Thinkphp 5缓存漏洞实现前台Getshell
weixin_28848833的博客
03-21 510
原标题:利用Thinkphp 5缓存漏洞实现前台Getshell*本文原创作者:WindWing,属于FreeBuf原创奖励计划,禁止转载0×00 背景网站为了实现加速访问,会将用户访问过的页面存入缓存来减小数据库查询的开销。而Thinkphp5框架的缓存漏洞使得在缓存中注入代码成为可能。(漏洞详情见参考资料)本文将会详细讲解:1. 如何判断缓存漏洞存在的可能性2. 如何利用Thinkphp5的框...
wei php getshell,海洋cms最新版前台getshell(附靶机)
weixin_30587041的博客
04-06 500
cms版本:6.45官网好像是6.48版本了直接上代码[mw_shl_code=applescript,true]function parseIf($content){if (strpos($content,'{if:')=== false){return $content;}else{$labelRule = buildregx("{if.*?)}(.*?){end if}","is");$la...
curl
csdn_jiangpeng的博客
01-16 204
/** * get * post方式请求资源 * @param string $url 基于的baseUrl * @param int $flag 标志位 * @param array $header 头部 * @return string 返回的资源内容 */ function curl_get($url, $flag = 0, $header = []) {...
【漏洞复现】ThinkPHP5 5.x 远程命令执行(getshell)
weixin_34314962的博客
12-11 4090
0x00复现环境 ThinkPHP 5.x (v5.0.23及v5.1.31以下版本) 远程命令执行漏洞利用(GetShell) 0x01步骤 点击start to hack 进入环境页面 run the project 然后访问给出的target address执行系统命令显示目录下文件http://aaa.vsplate.me:52763/public/index.php?s=/index...
THINKPHP5 getshell
公众号shadow sock7
12-11 7840
参考: https://mp.weixin.qq.com/s/oWzDIIjJS2cwjb4rzOM4DQ https://www.anquanke.com/post/id/167653 http://www.vulnspy.com/cn-thinkphp-5.x-rce/thinkphp_5.x_(v5.0.23及v5.1.31以下版本)_远程命令执行漏洞利用(getshell)/ ...
wei php 2.0
07-28
微信开发公用框架 PHP开源,各宗例子都有,非常不错的开源框架
doc_wei01-erp-pro-master.zip
05-05
doc_wei01-erp-pro-master.zip开源代码
Wei.IM2A:即时通信框架客户端 Android 版
06-29
#Wei.IM2A 即时通信框架客户端 Android 版。本实现是基于可靠的 TCP Socket 连接,通过自定义简单协议(约定)与服务端通信。本实现架构合理,并且有一个非常高效的“有效消息实体字节流碎片匹配拆解”算法(详见 ...
ZHIHUA.WEI个人简历主页系统.zip
最新发布
01-17
ZHIHUA.WEI个人简历主页系统,本项目一共开发了PHP和HTML两种语言版本,前端工程师和后端工程师皆可使用。开源是一种精神!为中国的互联网行业发展献出一份小小的力量 软件开发设计:应用软件开发、系统软件开发、...
学习php设计模式 php实现享元模式(flyweight)
12-19
PHP中,享元模式同样适用,尤其是在需要处理大量相似对象的场景下,可以显著降低内存占用。 一、享元模式的意图 享元模式的主要目的是减少内存中对象的创建,特别是当处理的对象数量巨大时。它通过区分对象的内部...
WeiPHP5.0 SQL注入(CNVD-2020-67556 )漏洞复现
weixin_68999845的博客
09-21 512
WeiPHP5.0 SQL注入(CNVD-2020-67556 ) 漏洞复现
【sql注入教程】mysql注入直接getshell
dfdhxb995397的博客
08-30 1560
Mysql注入直接getshell的条件相对来说比较苛刻点把 1:要知道网站绝对路径,可以通过报错,phpinfo界面,404界面等一些方式知道 2:gpc没有开启,开启了单引号被转义了,语句就不能正常执行了 3:要有file权限,默认情况下只有root有 4:对目录要有写权限,一般image之类的存放突破的目录就有 在实际环境中我只遇过一次,为了做实验,我把php.ini文件...
SQL注入getshell
littlecjx
05-29 3447
通过数据库的into outfie可以写入一句话木马进行getshell,由于利用环境相对苛刻,实际环境不常见,现以bWAPP靶场作为验证环境。 选择SQL Injection (GET/Select),安全等级选择low,php版本为5.2.17。 点击go,URL中显示movie参数,于是可直接在URL中构造数据。 注入点判断 构造1 and 1=1,正常显示 构造1 and 1=2,没有数据显示,于是可判断movie处存在整数型注入。 字段数判断(order by) 构造1 order by 8
MetInfo 无需登录前台直接GETSHELL(v5.2)-学习笔记
小龙在线
08-20 1225
漏洞名称 MetInfo 无需登录前台直接GETSHELL(v5.2)(wooyun-2015-094886) 发布时间 2015-05-03 漏洞分类 文件包含 缺陷代码 此漏洞涉及到了两个文件./admin/include/common.inc.php和./admin/include/lang.php,问题主要出在lang.php文件中。 在文件./admin/include/lang.php的17~47行: if($_GET[langset]!="" and $met_admin_type_ok==1
攻防世界--weiphp
qq_46263951的博客
01-19 1340
这道题原本应该是通过.git源码泄漏获取到源码,利用工具githack,可能是环境的问题,执行完发现目录是空的 直接从网上找源码,可能比源代码的内容要多一些 GitHub - weiphpdev/weiphp5.0: WeiPHP5.0,公众号与小程序结合的最佳开发框架,,它实现一个后台同时管理和运营多个客户端(公众号,微信小程序,后续将支持支付宝小程序,百度小程序等) 进入后的页面为一个登陆框,将login改为register发现该功能被禁用了 前台SQL注入 由于这里对title参数并没有检.
php sql 注入例子代码
freshfox的博客
06-23 2787
<?php $servername = "localhost"; $username = "root"; $password = "root"; $conn = mysqli_connect($servername, $username, $password); // 检测连接 if (!$conn) { die("Connection failed: " . mysqli_c...
攻防世界 web进阶区 writeup
cherish的技术博
04-20 535
目录php_rce php_rce 参考链接 根据提示看应该是tp5的远程命令/代码执行漏洞 然后网上搜下payload。 emmm分析我是看不懂的。
linux shell &2
07-27
引用\[1\]: Shellcode是一种Payload,用于建立正向/反向shell。它是一段用于利用计算机系统漏洞的代码。引用\[2\]:在Linux shell中,&2是标准错误输出的文件描述符。它通常用于将错误消息输出到终端或日志文件中。 #### 引用[.reference_title] - *1* [day01 操作系统&文件下载&反弹shell&防火墙绕过](https://blog.csdn.net/hesysd/article/details/123262918)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [linux之shell命令——条件判断(&& || test)](https://blog.csdn.net/shang_feng_wei/article/details/90378017)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值