php 越权 漏洞,PHPYUN最新版SQL注入及多处越权操作终结篇

最新推荐文章于 2024-05-15 05:08:03 发布
最新推荐文章于 2024-05-15 05:08:03 发布
阅读量765 收藏
点赞数
文章标签: php 越权 漏洞

### 简要描述:

PHPYUN最新版(phpyun_v3.1.0604_gbk)SQL注入及多处越权操作

虽然PHPYUN在注入防御上已经做得很不错了,方的很严格,像吃掉引号,宽字节的基本上很少了,但是不需要跟引号斗争的地方还有很多,得好好检查,好好修复了!!!

越权方面做的也很不错了,有些是因为SQL注入引起,有些是你们忘了加thins->uid的限制,这里再来一处前台SQL注入及多处越权操作,还有后台大面积的注入(给出文件,厂商自行修复)!!!

### 详细说明:

第一处SQL注入漏洞及越权操作

文件/model/ajax.class.php:

```

function Refresh_job_action()

{

$num=count($_POST['ids']);

$statis=$this->obj->DB_select_once("company_statis","`uid`='".$this->uid."'");

if($statis['vip_etime']

{

if($statis['breakjob_num']>=$num)

{

$value="`breakjob_num`=`breakjob_num`-$num";

}else{

if($this->config['com_integral_online']=="1")

{

$integral=$this->config['integral_jobefresh']*($num-$statis['breakjob_num']);

if($statis['integral']

{

echo "会员刷新职位数,和".$this->config['integral_pricename']."不足!";die;

}else{

$value="`breakjob_num`='0',`integral`=`integral`-$integral";

}

}else{

echo "会员刷新职位数不足!";die;

}

}

$this->obj->DB_update_all("company_statis",$value,"`uid`='".$this->uid."'");

}

echo $_POST['ids'];

$ids=@implode(",",$_POST['ids']);

echo $ids;

$nid=$this->obj->DB_update_all("company_job","`lastupdate`='".time()."'","`id` in (".$ids.") and `uid`='".$this->uid."'");

$this->obj->DB_update_all("company","`jobtime`='".$_POST['lastupdate']."'","`uid`='".$this->uid."'");

if($nid)

{

echo 1;die;

}else{

echo "刷新失败!";die;

}

}

```

这里$ids=@implode(",",$_POST['ids']);

然后没有经过引号的保护,直接进入了SQL语句DB_update_all中,导致注入了。

然后通过截断后面的uid,就可以update任意uid用户的职位信息了,当然这里的update的内容无足轻重!

下面的越权操作基本上都是因为在update或者insertinto时,没有控制此次操作时候的用户属性this->uid,而且使uid可控,导致update或者insertinto任意用户的内容。

第二处越权操作

文件/model/ajax.class.php:

```

function atn_company_action(){

if((int)$_POST['id']>0){

if($this->uid){

if($_COOKIE["usertype"]!='1'){

echo '4';die;

}

$atninfo = $this->obj->DB_select_once("atn","`uid`='".$this->uid."' AND `sc_uid`='".intval($_POST["id"])."'");

$comurl = $this->config['sy_weburl']."/company/index.php?id=".$_POST["id"];

$company=$this->obj->DB_select_once("company","`uid`='".(int)$_POST['id']."'","`name`");

$name = $company['name'];

if(is_array($atninfo)&&$atninfo){

$this->obj->DB_delete_all("atn","`uid`='".$this->uid."' AND `sc_uid`='".intval($_POST['id'])."'");

$this->obj->DB_update_all('company',"`ant_num`=`ant_num`-1","`uid`='".(int)$_POST['id']."'");

echo "2";die;

}else{

$this->obj->DB_insert_once("atn","`uid`='".$this->uid."',`sc_uid`='".intval($_POST['id'])."',`usertype`='".$_COOKIE["usertype"]."',`sc_usertype`='2',`time`='".time()."'");

$this->obj->DB_update_all('company',"`ant_num`=`ant_num`+1","`uid`='".(int)$_POST['id']."'");

$content="关注了".$name."";

$this->addstate($content,2);

$msg_content = "用户 ".$this->username." 关注了你!";

$this->automsg($msg_content,(int)$_POST['id']);

echo "1";die;

}

}else{

echo "3";die;

}

}

}

```

这里的DB_update_all时,uid=$_POST['id'],用户可控导致越权update。

第三处越权操作

文件/model/ajax.class.php:

```

function Atn_action(){

......

if(is_array($atninfo)&&!empty($atninfo)){

$this->obj->DB_delete_all("atn","`uid`='".$this->uid."' AND `sc_uid`='".intval($_POST['id'])."'");

$this->obj->DB_update_all($table,"`ant_num`=`ant_num`-1","`uid`='".(int)$_POST['id']."'");

echo "2";die;

}else{

$this->obj->DB_insert_once("atn","`uid`='".$this->uid."',`sc_uid`='".intval($_POST['id'])."',`usertype`='".$_COOKIE['usertype']."',`sc_usertype`='".$user['usertype']."',`time`='".time()."'");

$this->obj->DB_update_all($table,"`ant_num`=`ant_num`+1","`uid`='".(int)$_POST['id']."'");

```

这里的DB_update_all时,uid=$_POST['id'],用户可控导致越权update。

第四处越权

文件/model/ajax.class.php:

```

function order_type_action(){

if($this->uid && $this->username && $_COOKIE['usertype']==2)

{

$nid=$this->obj->DB_update_all("company_order","`order_type`='".(int)$_POST['paytype']."'","`order_id`='".(int)$_POST['order']."'");

echo $nid?1:2;

}

}

```

这里的DB_update_all用户订单时,没有控制uid,而是通过仅有的order_id来更新,导致越权update,而这里的order_id是可以简单得到的。

第五处越权

文件/wap/member/com.class.php

```

function job_action()

{

if($_GET['status'])

{

$this->obj->update_once('company_job',array('status'=>intval($_GET['status'])),array('id'=>intval($_GET['id'])));

$this->wapheader('index.php?c=job&','设置成功!');

}

$urlarr=array("c"=>"job","page"=>"{{page}}");

$pageurl=$this->url("index","index",$urlarr);

$this->get_page("company_job","`uid`='".$this->uid."'",$pageurl,"10");

$this->waptpl('job');

}

```

这里在更新企业用户职位信息时,没有控制用户uid,直接通过职位信息的id进行update,导致越权操作,更新任意职位信息。

### 漏洞证明:

[0.png](https://images.seebug.org/upload/201406/11164659bc825d1b6c232f56f13ecf212bc1a19d.png)

SQL执行记录:

[1.png](https://images.seebug.org/upload/201406/111647178a24302f77fcc70ab4c3263c147c6b6d.png)

后台大面积注入,给出文件,厂商修复下吧:

[2.png](https://images.seebug.org/upload/201406/11164747a719fac70acb9f5ba1df8e67debf772e.png)

[3.png](https://images.seebug.org/upload/201406/11164758e254fd146e55303f992d967a1515ed0f.png)

当然还有很多其他的。

loading-bars.svg

长佑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHPYun 5.0(PHP云人才系统) V5.0接口操作教程文档 .rar
11-14
**PHPYun 5.0 PHP云人才系统接口操作教程...同时,"phpyun相关操作教程文档"则可能包含了更多关于系统内部操作和管理的细节,如用户管理、职位管理、权限分配等方面的指导,帮助管理员更好地运维和扩展PHPYun 5.0系统。
PHP云人才系统(phpyun) v4.2 Beta版 build160809
12-05
PHP云人才系统是一个采用 PHP 和 MySQL 数据库构建的高效开源的人才与企业求职招、聘解决方案,在尊重版权的前提下能极大的满足对于网站程序进行二次开发。PHP云人才系统作为一款拥有自主知识产权的中文人才运营系统...
PHPYun XML 注入漏洞
whatiwhere的博客
12-06 1706
实验环境 实验环境 操作机系统:WindowsXP 目标网站:www.test.ichunqiu 实验目的 掌握本次漏洞的原理及其利用方法 学会如何修复Sql注入漏洞 实验工具 Hack Bar :它是火狐浏览器的一款插件,包含一些常用的工具。(SQL injection,XSS,加密等),web开发人员可以利用它,快速构建一个http请求,或者用它快速实现某种算法等,本次实验主要用到它的...
php云人才系统漏洞,php云人才系统 注入漏洞
weixin_42131541的博客
03-18 656
### 简要描述:php云人才系统 注入漏洞### 详细说明:php云人才系统 注入漏洞tenpay的KEY没有初始化导致的注入漏洞!```/api/tenpay/return_url.phprequire_once(dirname(dirname(dirname(__FILE__)))."/data/db.config.php");require_once(dirname(dirname(dir...
最全PHPcms V9 任意文件上传漏洞_phpcmsv9漏洞(3),2024年最新闭关60天学懂NDK+物联网嵌入式
最新发布
2401_85015332的博客
05-15 309
漏洞爆出来的时间是2017年4月份左右,时间比较长了,存在任意文件长传,漏洞利用比较简单,危害很大,可以直接前台getshell。
PHP网站漏洞poc,phpyun某处SQL注入漏洞含POC
weixin_32112607的博客
04-02 261
### 简要描述:20141231### 详细说明:phpyun使用了360和一个自身的防护脚本我们来看看过滤情况[](https://images.seebug.org/upload/201501/16102451cf1b07dca7d416cab0d4fd1ed863c6ab.png)这都是我们常用查询语句。出现这些语句就会结束,以及替换。不过这里有个安全隐患就是[](https://imag...
PHPcms V9 任意文件上传漏洞
Azjj
09-04 5760
之前碰到一个站点,存在目录遍历,看到upload目录下上传了好多php的大马,说明这网站肯定是有漏洞的,看了一下网站指纹,是phpcms的,正好借此网站复现一下此漏洞 一丶漏洞简介 此漏洞爆出来的时间是2017年4月份左右,时间比较长了,存在任意文件长传,漏洞利用比较简单,危害很大,可以直接前台getshell。 二丶影响版本 phpcms v9.6.0 三丶漏洞分析 漏洞利用点是注册的地方,我们来看一下网上常用的一个payload: http://127.0.0.1/index.php.
Z-BlogPHP 服务器请求伪造漏洞 (CVE-2022-40357)
weixin_68999845的博客
07-31 1523
Z-BlogPHP 1.7.2及之前版本存在安全漏洞,该漏洞源于zb_users/plugin/UEditor/php/action_crawler.php文件中的服务器端请求伪造(SSRF)漏洞允许远程攻击者通过将任意URL注入源参数来强制应用程序发出任意请求。1.按照源码地址下载,以下为源码下载地址连接:https://github.com/zblogcn/zblogphp/archive/refs/tags/v1.7.1-2960.zip。·漏洞名称:Z-BlogPHP 服务器请求伪造漏洞
PHP云人才系统(phpyun) v4.2 Beta版 build160913
01-02
PHP云人才系统是一个采用 PHP 和 MySQL 数据库构建的高效开源的人才与企业求职招、聘解决方案,在尊重版权的前提下能极大的满足对于网站程序进行二次开发。PHP云人才系统作为一款拥有自主知识产权的中文人才运营系统...
PHP云人才系统(phpyun) v4.1 Beta版 build160223
12-07
PHP云人才系统是一个采用 PHP 和 MySQL 数据库构建的高效开源的人才与企业求职招、聘解决方案,在尊重版权的前提下能极大的满足对于网站程序进行二次开发。PHP云人才系统作为一款拥有自主知识产权的中文人才运营系统...
PHP云人才系统(phpyun) v4.2 Beta版 build160802
12-05
PHP云人才系统是一个采用 PHP 和 MySQL 数据库构建的高效开源的人才与企业求职招、聘解决方案,在尊重版权的前提下能极大的满足对于网站程序进行二次开发。PHP云人才系统作为一款拥有自主知识产权的中文人才运营系统...
phpyun-存有逻辑漏洞验证码泄露的源码包(1).zip
12-28
phpyun-存有逻辑漏洞验证码泄露的源码包,亲测可用,确实含有该漏洞,如有侵权,请联系CSDN管理员删除
phpyun人才招聘系统V4.6 (20180827)VIP版完整开源-百度网盘地址
02-28
PHPYUN采用:B/S+c/s技术框架,程序源代码100%完全开放!基于PHP 和 MySQL 数据库构建的为核心开发。也支持全新HTML5的移动端酷眩效果! 1、下载PHPYun提供的zip压缩包 解压 /uploads 文件夹内容到网站目录下 2、第一次访问PHPYun人才系统,会自动提示安装数据库到你的mysql中 3、安装完成后再次访问即可正常浏览PHPYun系统或后台 4、安装文件在 /install 目录下,【注意】安装完成后请删除或者修改此文件夹保证安全【注意】 5、为了后台安全大家可以任意修改 admin 文件夹名称 如 admin_123
php云人才招聘系统(后台运营设置使用说明).doc
04-25
php云人才招聘系统(后台运营设置使用说明);PHPYUN人才系统分享推广职位流程说明;PHPYUN人才招聘系统微信和支付宝配置说明
phpyun人才VIP版.rar
12-11
有购买广告位,发票,等功能,优惠卡卷等功能,亲测可用,安装目录就是根目录,安装即可,不懂的可以在联系我
phpyun人才招聘系统V4.6 授权版(20180825)
08-31
phpyun人才招聘系统V4.6 授权版(20180825)正版授权程序,需要的下了
phpyun职位表“phpyun_company_job”添加字段,保存数据到数据库
ycs_0405的专栏
04-17 894
1、企业会员发布职位添加字段“ 驾照要求”,在表“phpyun_company_job”添加字段“driverLicense ” int(5); 2、在“/data/plus/dbstruct.cache.php”,在$phpyun_company_job数组中添加字段: 'driverLicense'=>'int(5)' $phpyun_company_job=array('id'=...
php 越权 漏洞,PHPYUN最新版多处SQL注入越权操作
weixin_39624769的博客
03-10 219
### 简要描述:PHPYUN最新版(phpyun_v3.1.0604_gbk)多处SQL注入越权操作虽然PHPYUN在注入防御上已经做得很不错了,方的很严格,像吃掉引号,宽字节的基本上很少了,但是不需要跟引号斗争的地方还有很多,得好好检查,好好修复了!!!这里再来三处SQL注入越权操作!!!### 详细说明:文件/member/model/com.class.php第一处SQL注入越权修改...
php漏洞集合
weixin_50683638的博客
10-11 2239
第三章 常见的php漏洞集合 1.sql注入漏洞 0x01 注入介绍 1.什么是sql注入 用户输入的参数被当成sql语句在数据库里执行,这就是sql注入漏洞 2.sql注入的危害 sql注入轻则获取数据库信息,重则获取服务器权限。 0x02 搭建sqli-labs靶机 0.介绍 SQLI-LABS是学习SQLI的平台 sqli-labs下载链接:https://github.com/Audi-1/sqli-labs 环境:phpstudy+windows10 1.创建网站(注意php版本选择5.6) 2
Phpyun人才招聘系统数据字典.doc
03-19
本文主要总结了《Phpyun人才招聘系统数据字典》中的广告信息表(phpyun_ad)的字段及其相关说明。该数据字典包含了广告的各项信息,包括广告编号、广告名称、所属分站、广告开始和结束时间、广告类型、文字信息、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值