php 牛牛漏洞,phpcms v9 SQL注入漏洞(第二弹)

最新推荐文章于 2024-05-16 03:06:11 发布
最新推荐文章于 2024-05-16 03:06:11 发布
阅读量1.1k 收藏
点赞数
文章标签: php 牛牛漏洞
本文详细分析了一个PHP CMS系统中由于更新用户昵称时的代码漏洞,导致的数据注入问题。攻击者可以利用此漏洞将带有特殊字符的昵称存入数据库,并在重新登录时影响其他数据,如评论的用户名。攻击流程包括修改个人信息,截取数据包并替换特定cookie值。修复此类漏洞对于系统的安全性至关重要。
摘要由CSDN通过智能技术生成

第二次玩乌云,等待乌云发BB漏洞文件发生在phpcms\modules\member\index.php中392行

public function account_manage_info() { // account_manage_info方法,就是更新个人资料

if(isset($_POST['dosubmit'])) {

//更新用户昵称

$nickname = isset($_POST['nickname']) && trim($_POST['nickname']) ? trim($_POST['nickname']) : ''; //存在真名名字就去掉2边空格

if($nickname) {

$this->db->update(array('nickname'=>$nickname), array('userid'=>$this->memberinfo['userid'])); //存在$nickname这个变量就更新真实名字,漏洞发生在此处

if(!isset($cookietime)) {

$get_cookietime = param::get_cookie('cookietime');

} // 取出cookietime

$_cookietime = $cookietime ? intval($cookietime) : ($get_cookietime ? $get_cookietime : 0);

$cookietime = $_cookietime ? TIME + $_cookietime : 0;

param::set_cookie('_nickname', $nickname, $cookietime);//这里设置cookie

}

………………….//省略若干无关代码

1

2

3

4

5

6

7

8

9

10

11

12

13

14

publicfunctionaccount_manage_info(){// account_manage_info方法,就是更新个人资料

if(isset($_POST['dosubmit'])){

//更新用户昵称

$nickname=isset($_POST['nickname'])&&trim($_POST['nickname'])?trim($_POST['nickname']):'';//存在真名名字就去掉2边空格

if($nickname){

$this->db->update(array('nickname'=>$nickname),array('userid'=>$this->memberinfo['userid']));//存在$nickname这个变量就更新真实名字,漏洞发生在此处

if(!isset($cookietime)){

$get_cookietime=param::get_cookie('cookietime');

}// 取出cookietime

$_cookietime=$cookietime?intval($cookietime):($get_cookietime?$get_cookietime:0);

$cookietime=$_cookietime?TIME+$_cookietime:0;

param::set_cookie('_nickname',$nickname,$cookietime);//这里设置cookie

}

………………….//省略若干无关代码

我们注册用户,然后修改个人信息**.**.**.**/index.php?m=member&c=index&a=account_manage_info&t=1我们更新测试下,将带有’ (单引号的名字)带入数据库试试

c7c0ef390798673de18f8a48dbac9387.png

然后我们看看数据库中对应表的更新

3ebab6e489b61977e4b15314496b5b49.png

然后发现已经成功进入了数据库接下来我们要做的就是重新登录(必须重新注销登录,因为要用到这里重新登录的cookie)当我们重新登录的时候在phpcms\modules\member\index.php中543行public function login() {$this->_session_start();//…..省略若干代码param::set_cookie('auth', $phpcms_auth, $cookietime);param::set_cookie('_userid', $userid, $cookietime);param::set_cookie('_username', $username, $cookietime);param::set_cookie('_groupid', $groupid, $cookietime);param::set_cookie('_nickname', $nickname, $cookietime);//…..省略若干代码这里我们发现已经重新设置nickname的cookie了,而这里的$nickname也是从数据库里面取出来的。我们看phpcms\modules\comment\index.php中的post方法

f43c3880c12e8eac33d60c76dfbd3602.png

这里的$username变量是通过cookie过来的然后这个$username变量又做了些什么呢?在phpcms\modules\comment\index.php 100行处

a315c2aeca015718ace7311d30bcf908.png

发现这个它赋给了一个$data数组,然后进入了数据库,一个insert语句$comment->add()这样一个过程上面是一个提交评论的操作,我们的攻击思路是这样的当我们提交评论的时候,截取我们的数据包,将其中的username这个cookie值用我们nickname这个cookie值来代替,这样就起到了注入的效果了,我们测试下具体攻击过程就不演示了。。。贴一下官网测试的结果

c88ec7bace9a1ac818c33fe95358499b.png

孤独患喆
关注
PHPCMS v9本地文件包含漏洞Getshell
fansenliangren的博客
12-01 1511
文件包含是指程序代码在处理包含文件的时候没有严格控制。导致用户可以构造参数包含远程代码在服务器上执行,并得到网站配置或者敏感文件,进而获取到服务器权限,造成网站被恶意删除,用户和交易数据被篡改等一系列恶性后果......
php 登录漏洞,PHPCMS用户登陆SQL注入漏洞分析
weixin_33856590的博客
03-11 1328
0x00 简述之前manning在调漏洞的时候,突然发现正常登陆不上去了,当时帮忙跟了下phpcms的登陆流程。之后感觉这个流程貌似有些问题,就仔细看了下,没想到真是一个0day~~0x01 漏洞原理我们先直接看这个漏洞最根源的地方,phpsso/index.php文件所有的操作都存在严重的注入问题,这个类文件的构造函数最先调用它的父构造函数,通过auth_key来解析POST传入的data内容,...
PHPCMS V9爆出多个SQL注入漏洞
weixin_30653023的博客
09-13 263
phpcms 使用sys_auth函数加解密cookie信息,系统中多个文件直接从cookie中获取变量进入程序流程。 由于sys_auth函数在设计和使用过程中存在缺陷,导致注册用户可以伪造cookie数据,触发SQL注入等多个二次攻击。 看sys_auth函数代码 //libs/functions/global.func.php function sys_auth($txt, $opera...
PHPCMS V9 视频分享模块SQL注射漏洞分析
weixin_33720956的博客
12-25 89
其实这个0day前几天就发现了,只是今天放出来是因为我最重要的人。。   废话不多说了,直接上代码分析          \phpcms\modules\video.php(78行代码) /** * * 视频添加方法 */ public function add() { if ($_POST['dosubmit']) { ...
PHPcms V9 任意文件上传漏洞
qax
09-04 5932
之前碰到一个站点,存在目录遍历,看到upload目录下上传了好多php的大马,说明这网站肯定是有漏洞的,看了一下网站指纹,是phpcms的,正好借此网站复现一下此漏洞 一丶漏洞简介 此漏洞爆出来的时间是2017年4月份左右,时间比较长了,存在任意文件长传,漏洞利用比较简单,危害很大,可以直接前台getshell。 二丶影响版本 phpcms v9.6.0 三丶漏洞分析 漏洞利用点是注册的地方,我们来看一下网上常用的一个payload: http://127.0.0.1/index.php.
phpcms set inc.php,phpcms V9 sql注入漏洞测试
weixin_30618305的博客
03-23 541
phpcms V9 版本存在SQL注入漏洞漏洞复现如下0x00 以GET方式访问如下链接,得到返回包里mvbpqw_siteid值:http://127.0.0.1/index.php?m=wap&c=index&a=init&siteid=10x01 构造SQL语句,将0x00中的mvbpqw_siteid值代入下面链接,以POST方式发起请求0x02 将0x01步中的...
PHPCMS V9专题模块注入漏洞的分析与修复方法
09-29
### PHPCMS V9专题模块注入漏洞的分析与修复方法 #### 一、漏洞背景介绍 PHPCMS V9是一款非常流行的开源内容管理系统(Content Management System, CMS),它提供了丰富的功能来帮助用户构建和管理网站。然而,即便...
PHPCMS2008广告模板SQL注入漏洞修复
10-21
PHPCMS2008是一款流行的开源内容管理系统,然而,如标题所示,它存在一个广告模板SQL注入漏洞,这个问题在2008年的版本中尤为突出。SQL注入是一种常见的网络安全威胁,允许攻击者通过操纵输入数据来执行恶意SQL命令...
php v9最新漏洞,Phpcms v9漏洞分析
weixin_30222083的博客
03-10 2541
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。最近研究源码审计相关知识,会抓起以前开源的CMS漏洞进行研究,昨天偶然看见了这个PHPCMS漏洞,就准备分析研究一番,最开始本来想直接从源头对代码进行静态分析,但是发现本身对PHPCMS架构不是很熟悉,导致很难定位代码的位置,最后就采用动态调试&静态分析的方式对漏洞的触发进...
php v9 sql,PHPCMS v9 SQL注入
weixin_29920697的博客
03-17 452
2013 年 2 月 4 日 by lanu文章题目:[漏洞分析]PHPCMS v9 SQL注入作 者:L.N. && n3w1yb1r7h时 间:2013-02-03声 明:此漏洞非本人首发,在此只作代码分析。漏洞分析:漏洞文件:/phpcms/modules/member/index.php[php]public functi...
phpcmsV9官方源码漏洞
haocaicai的博客
09-27 1301
(1)、phpcms的/phpcms/libs/classes/attachment.class.php中,对输入参数$ext未进行类型限制,导致逻辑漏洞的产生。 解决方法:修改/phpcms/libs/classes/attachment.class.php文件143行左右的download方法,在方法开始位置加入: function download($field, $value,$...
传感与检测技术,Pt100热电阻测温实验报告,江南大学物联网(1)
最新发布
2401_85015014的博客
05-16 631
/返回 x 的系数 k 公式:k = (n sum( xy ) - sum( x ) sum( y )) / (n sum( x^2 )-sum(x) ^ 2)System.out.println(“非线性误差为:” + Math.abs(maxy/fully*100) + “%”);//返回常量系数系数 b 公式:b = sum( y ) / n - k * sum( x ) / n。System.out.println(“灵敏度为:” + Math.abs(s));//返回对应项相乘后的和。
PHPCMS V9 WAP模块注入漏洞
收集盒 Book box
01-03 1197
用到urldecode的变量,入库之前没有进行有效过滤,导致注入产生。   文件位置:/phpcms/modules/wap/index.php 漏洞函数:comment_list() 未过滤参数:$_GET['commentid'] 触发条件:开启WAP模块 触发漏洞:index.php?m=wap&c=index&a=comment_list&comment
Phpcms V9 网站管理系统 SQL 盲注入漏洞
叱诧冰子 ′
01-28 1608
<br />=================================================================<br />Phpcms V9 BLind SQL Injection Vulnerability<br />非常简单的英文,连我这英语不及格的都看得懂…… 囧~ 就不翻译了……<br />=================================================================<br />Phpcms V9 网站管理系统 SQ
phpcms v9.任意文件上传漏洞复现
newlife1441的博客
08-15 4658
如果你也出现上面的情况请试试下面说的方法:这里有一个小坑注意,你在压缩前面的文件时要注意他们在压缩文件中的顺序,意思就是你创建的一个php文件在创建的txt文件的上面就可以成功,只有这样在解压失败后它还是能够保留并将php文件成功解压出来。时间竞争漏洞利用原理其实就是在解压文件后与删除限制的文件之间的时间空隙来利用提前在限制的文件中写好的利用代码在非解压目录下生成新的不会被删除的新文件(木马),通过这个木马来拿下网站。原理:这里我们通过利用解压文件在解压过程出错会导致后面的递归删除操作不会执行的特点。...
phpcmsV9某sql注射漏洞及修复
weixin_34248118的博客
07-10 310
phpcmsV9某sql注射漏洞及修复2014-05-24 0个评论 收藏我要投稿 别人说最危险的地方最安全,我说最安全的地方最危险。。。相信你们也没有想到这个最常见,常常会在各种教程出现的地方会存在SQL注射。。。需 GPC OFF首先,我们看登陆的地方。。最常见了吧。。。 http://127.0.0.1/index.php?m=member&c=in...
phpcms v9文件上传漏洞复现
qq_50646296的博客
08-21 1938
我们通过软件burp suite 抓包,修改一个变量,不停的发包,我们可以手动或者让软件不停的访问我们呢上传的PHP,如果显示出PHP内容,时间竞争成功。方法:我们发现它只是删除了压缩包里面的文件,但这段代码并不会对解压后的文件夹递归删除,只能对解压的文件直接删除。分析:当程序不递归删除时,我们直接将图片和.php文件压缩上传,会发现图片还在,.php文件被删除了。此时,我们再将其上传,可以看到,我们的PHP文件就被保留下来了。我们创建一个文件夹,放入以下文件,然后将这个文件经行压缩。
Phpcms V9 uc api SQL注入漏洞
hacke2' Blog
02-08 2986
http://bbs.wolvez.org/viewtopic.php?id=256 漏洞分析: 1.未启用ucenter服务的情况下uc_key为空 define('UC_KEY', pc_base::load_config('system', 'uc_key')); 2. deleteuser接口存在SQL注入漏洞,UC算法加密的参数无惧GPC,程序员未意识到$get['ids']会存
阿里云提出的漏洞Phpcms V9某处逻辑问题导致getshell漏洞解决方法)的问题
weixin_34114823的博客
04-16 203
最近从阿里云云盾检测流出来的,相比使用阿里云服务器的朋友已经收到漏洞提醒:Phpcms V9某处逻辑问题导致getshell漏洞解决方法,这个漏洞怎么办呢?CMSYOU在这里找到针对性解决办法分享给大家。 漏洞详情: 漏洞名称:phpcms某处逻辑问题导致getshell 补丁编号:7843523 补丁文件:/phpcms/libs/classes/attachment.class.php ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值