修复flow.php sql注入漏洞,phpcms v9.6 Content模块SQL注入漏洞分析

最新推荐文章于 2023-09-11 17:53:44 发布
最新推荐文章于 2023-09-11 17:53:44 发布
阅读量263 收藏 1
点赞数
文章标签: 修复flow.php sql注入漏洞

最近几天圈里放出来一波phpcms的0day漏洞,这就是其中一个。此漏洞觉得很有意思,而且利用也需要好几个步骤,Payload完全可以绕过WAF检测。

漏洞分析

这里我们使用反推的方法来分析这个漏洞过程。

漏洞触发点在文件/phpcms/modules/content/down.php,来看init函数:

cbd34a2581576fe6d4208cea24307f5b.png

通过GET获取到$a_k参数内容,然后$a_k参数内容进入到sys_auth函数进行解密,说明我们传入的$a_k是提前已经加密的内容了,这里我们不用关系他到底是怎么解密的。

我们继续看parse_str($a_k);,这列parse_str函数有一个Trick:

Parse_str函数会自动对传入的值将其根据&分割,然后解析到具体变量并注册变量,并且对内容进行URL解码操作。

比如我们我们传入字符串’id=123%27%20and%201=1%23’,经过parse_str函数后就变成了id=123’ and 1=1#,就是id变量的内容为123’ and 1=1#。

继续往下看array(‘id’=>$id)进入了数据库操作,这里的id就是从parse_str函数处理$a_k后得到的内容,因为系统中默认是没有定义这个id的,正好通过parse_str处理后注册了id变量。

现在的问题就是:

我们怎么得到这个$a_k的值,因为解密,肯定存在加密,而且这里的加密是需要系统中的auth_key的,所以我们本地使用加解密函数进行数据加解密就行不通了。

那么就只能在当前系统中找到一处能加密的接口,并且可以输出解密后内容的地方。

在文件/phpcms/modules/attachment/attachments.php,swfupload_json函数:

e7e8b5c0e3778972c9395504bc5457cf.png

这里从GET获取了src参数内容,并且通过safe_replace函数处理

然后通过json格式化后进入了set_cookie函数。

我们先来看看safe_replace函数的内容,文件\phpcms\libs\functions\global.func.php:

107511f6b92c7b4d11e2b02bda5ca27f.png

功能就是把一些符号给替换掉了,比如%27,*,’,”等。

但是这里有一个问题如果我们传入%2*7通过safe_replace函数后变成了%27

然后门继续来看看这个set_cookie函数,文件\phpcms\libs\classes\param.class.php

8bc2b50e184656c7fdba4c02236eb0a4.png

可以看到,我们传入set_cookie(‘att_json’,$json_str);,将我们传入的att_json+系统中cookie的前缀作为set-cookie的key=前缀_att_json,将$json_str的内容通过sys_auth函数加密后最为set-cookie的value值。这里在sys_auth进行加密时默认使用的是system里面的auth_key,跟我们前面进行解密时使用的是同一个auth_key。

到这里,我们就清楚了:

第一步传入src参数;

第二步将传入的内容通过加密后返回到Cookie值;

第三步将返回的Cookie值传递给a_k参数

第四步a_k参数解密后进入数据库操作

因为整个过程中传递数据时是加密的,所有无视waf的防御,虽然有safe_replace函数处理,但是我们上面已经简单绕过了。

需要注意的时,在我看到的几篇分析文章中,都没有提到为什么第一步先要获取一个cookie并带入第二步获取加密的payload数据,这里我们看一下:

还是在attachments.php文件

24dab86f54c6de6e20f553584d2a672f.png

这里一目了然,为什么需要带上cookie 访问,因为不带cookie的话就直接跳到登录了。

这里有两种方式:

直接从cookie中获取名为:前缀_userid的cookie内容;

POST一个userid_flash

但是这两个方法获取的内容,多需要通过sys_auth解密,如果解密失败也会跳转到登录。

所以我们传入的cookie内容必须是合法的cookie,也就是通过set_cookie函数设置的cookie,因为set_cookie函数设置cookie时会通过sys_auth加密,这样解密就合法了。

那么从哪里无添加直接获取这个cookie 了,系统中应该有很多,这里使用的是wap模块里面的接口,/phpcms/modules/wap/index.php:

489d4858f308bc7fe6431b0e0a177847.png

这里GET获取siteid,然后为siteid设置cookie,返回的就是前缀_siteid为key的cookie。

然后这个cookie就可以拿来给下一步用了。

漏洞利用:

a83b76f88b2ce8adb37ad23ac43fabe3.png

获取到这里的cookie:

KhLUs_siteid=923aWILP69vS49T0lonOkl-ZEWFgBRxEdmRHCEUx

然后将设置第二步的cookie:

KhLUs_userid=923aWILP69vS49T0lonOkl-ZEWFgBRxEdmRHCEUx

带上这个cookie访问:

上面标红的那一段为我们构造的payload。

d1cc7fdf84368dbcfb9ad4029b314042.png

此时得到cookie:

KhLUs_att_json=a217vsJZ1FMqAjbenpUAOGzykDTKwL3z0aM6RWBZnBlh6RL6BDS8vlPFt9wPIo5mwketJHkRsNnDJr1ovMGoYTKNqLxN9NyPXt072g-7ZSR_3Rg_gdeXJW_j5VWaIIShkZFxtR87Fz9ggw6kA4ys8df0MEmMBqJFLqNBw34GZq5WBc4vW2L9dMy4WbdyKV6ofWNH2uCsQDOf-DRBYUvFg099BEUk

第三步我们将cookie,KhLUs_att_json的值付给a_k参数:

然后加密的payload通过解密最后进入数据库操作,导致sql注入产生。

注入数据的利用请见附件中的exp。

注入发生后,进一步利用就各种发挥咯。

漏洞修复:

官方发布了9.6.1版本,4月12日也出了补丁,补丁地址:

来看一下补丁的修复情况:

9fc86ce4be5bd39cdc93d196338860fa.png

可以看到这里对$a_k进行过滤,并且对id进行intval转换。

所以请升级到最新版。

如果您需要了解更多内容,可以

加入QQ群:570982169

直接询问:010-68438880

weixin_39917291
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php cms 代码注入,PHPCMS全版本通杀SQL注入漏洞
weixin_42458282的博客
04-14 955
漏洞分析首先看下面的代码/phpcms/modules/member/content.php 202行 edit函数[php]public function edit() {$_username = $this->memberinfo['username'];if(isset($_POST['dosubmit'])) {$catid = $_POST['info']['catid'] = i...
php 登录漏洞,PHPCMS用户登陆SQL注入漏洞分析
weixin_33856590的博客
03-11 1315
0x00 简述之前manning在调漏洞的时候,突然发现正常登陆不上去了,当时帮忙跟了下phpcms的登陆流程。之后感觉这个流程貌似有些问题,就仔细看了下,没想到真是一个0day~~0x01 漏洞原理我们先直接看这个漏洞最根源的地方,phpsso/index.php文件所有的操作都存在严重的注入问题,这个类文件的构造函数最先调用它的父构造函数,通过auth_key来解析POST传入的data内容,...
PHPCMS V9.6.0 SQL注入漏洞EXP
weixin_30664615的博客
05-10 907
运行于python3.5 import requests import time import re import sys def banner(): msg = '''--------------EXP IS PHPCMS V9.6.0---------------''' print(msg) def get_encrypt_value(payload,url): ...
PHPCMS v9.6.0 wap模块SQL注入
systemino的博客
05-10 792
一、漏洞详情 phpcms v9.6.0 sys_auth 在解密参数后未进行适当校验造成 sql injection。 看下漏洞的关键点,漏洞最终触发 SQL 注入的点是位于 phpcms/modules/content/down.php 的 init 函数中: 在这个函数中,我们可以看到通过 GET 传参 a_k 参数的值,然后调用 sys_auth 方法并传参 DECODE 进行了...
最新phpcms v9.6.0 sql注入漏洞分析
aiquan9342的博客
04-10 443
昨天爆出来的,但其实在此之前就i记得在某群看见有大牛在群里装逼了。一直也没肯告诉。现在爆出来了。就来分析一下。官方现在也还没给出修复。该文不给出任何利用的EXP。 该文只做安全研究,不做任何恶意攻击!否则一切后果自负! 问题函数:swfupload_json 所在所在地址:phpcms/modules/attachment/attachments.php 看到src这个参数被...
Sql注入工具php,phpcms框架SQL注入--基于Havij工具
weixin_39754267的博客
03-17 356
sql注入的步骤:1.首先观察网站是通过GET还是POST方式传输数据的:a.如果是GET传输,则在url中输入?id=1' 或者 " 或者 ') 来测试是否存在sql注入。b.如果是POST传输,则在输入框中输入?id=1' 或者 " 或者 ') 来测试是否存在sql注入。2.测试完成发现存在注入,进行注入,先测试有多少表单:a.?id=1 order by *(*数字为数字)进行测试,3.测试...
基于phpcms的SQL手工注入
qq_44060093的博客
08-20 516
步骤一: 探测目标网站有无sql注入点 试探目标网站 分别在地址末尾添加单撇号、and 1=1 和 and 1=2 进行注入点探测。 and 1=1 and 1=2 发现不需要闭合但引号,判断为注入类型为整数型 第一次加单引号时,发生报错,发现了数据库类型为mysql 步骤二、判断字段长度 利用 order by N,从数字 1 开始替代 N,直到返回错误页面,判断字段长度为错误页面的 N-1,也就是最后一个正常页面返回。实验中N=16,错误,所以字段长度为15 判断字段为15个 步骤三、判断字段
PHPCMS2008广告模板SQL注入漏洞修复
10-21
PHPCMS2008是一款流行的开源内容管理系统,然而,如标题所示,它存在一个广告模板SQL注入漏洞,这个问题在2008年的版本中尤为突出。SQL注入是一种常见的网络安全威胁,允许攻击者通过操纵输入数据来执行恶意SQL命令...
PHPCMS V9专题模块注入漏洞分析修复方法
09-29
### PHPCMS V9专题模块注入漏洞分析修复方法 #### 一、漏洞背景介绍 PHPCMS V9是一款非常流行的开源内容管理系统(Content Management System, CMS),它提供了丰富的功能来帮助用户构建和管理网站。然而,即便...
phpcmsV9.6.3默认编辑器CKeditor升级最新版 - 含源码
12-21
总结大全:含文章教程&&效果图对比、压缩包、代码文件等等。直接覆盖也可轻松完成全部设置。 phpcmsV9 完整更新ckeditor编辑器到最新版!
phpcmsV9.6.3升级补丁漏洞修复代码功能二次开发补丁phpcms网站开发教程文档手册
03-18
本压缩包包括多年积累的phpcms网站开发升级补丁,漏洞修复补丁。 其中包括教程文档: 后台安装过程中报错 弹出新窗口而不是新选项卡 浏览器不支持缩略图flash上传改H5 表单发送的邮件不显示表单内容 升级后台编辑器-ckeditor 等26个教程文档。 以及17个直接替换的漏洞补丁升级文件
基于PHPCMSSQL注入(Havij)
未名编程
07-17 2022
本教程仅供研究学习使用,请勿用于非法用途,违者一律自行承担所有风险。 目录实验目的实验环境实验原理实验步骤第一步靶机操作第二步渗透主机操作实验总结 实验目的 通过本实验理解SQL注入基本原理和过程,掌握菜刀和Havij等注入工具的使用方法,了解SQL注入的危害。通过本实验,掌握SQL注入点识别方法、测试方法、自动化工具使用方法以及进行防御的基本方法。 实验环境 测试渗透机:win2k8SvrTester 工具:中国菜刀、Havij 目标服务器(靶机):phpcms网站 目标网站:http://IP:80.
phpcms_v9.6.0的SQL注入
公众号shadow sock7
12-06 6227
参考: https://zhuanlan.zhihu.com/p/26263513 安装 phpcms所有版本安装: http://download.phpcms.cn 步骤 先拿到cookie 将这个cookie值作为userid_flash的值 并带上src参数的值为urlencoded的SQL注入payload。 这里的payload为: 得到wknv_att_json的值,并作为...
黑客学习-SQL注入:利用Havij对PHPCMS网站进行SQL注入
weixin_49349476的博客
09-21 1998
首先判断是否能SQL注入,之后利用Havij进行SQL注入,获取网站管理员的账号和密码
phpcmsV9.6.0sql注入漏洞分析
最新发布
shelter1234567的博客
09-11 1533
本次分析phpcmsV9.6.0 的sql注入漏洞,过程很曲折,就像cc链一样,要一步一步找到利用的链。纯手动分析没有软件调试,中间找类啊,方法啊 ,都是按照代码流程写的流程分析的,对自己也是一个挑战吧!
PHP代码审计入门(SQL注入漏洞挖掘基础)
2301_77512689的博客
04-23 296
SQL注入经常出现在登陆页面、和获取HTTP头(user-agent/client-ip等)、订单处理等地方,因为这几个地方是业务相对复杂的,登陆页面的注入现在来说大多数是发生在HTTP头里面的client-ip和x-forward-for。
phpcms <php,代码审计| phpcms 9.6.2 任意文件下载与前台SQL注入
weixin_30995661的博客
04-08 312
0x00 背景最近做代码审计的时候发现phpcms 有更新,现在漏洞详情基本不公开,想要知道漏洞的利用方法只能自己审计了,通常可进行新旧版本的代码比较了,来定位旧版本的漏洞位置,便下载了phpcms 9.6.3phpcms 9.6.1 和phpcms 9.6.2的源码进行比较和审计,发现phpcms 9.6.2 中存在任意文件下载补丁绕过和前台SQL注入,便撰写了本文做个记录,期待和师傅们的各种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值