非最新版本
前台注入
在common.php的32行,直接进行sql查询
搜索prevNext方法哪里被调用,在show.php的38被调用,可看到传入参数
跟进ID,在其第10行
跟进input方法
使用其方法传参且无过滤,导致ID可控,存在注入。
漏洞利用
python.exe .\sqlmap.py -u http://q.com/product/132 -D hsycms -T sy_user -C “username,password” –dump(q.com为本地自定义域名)
Xss
54-69行,留言直接插入数据库
在后台直接取出然后模板赋值
漏洞证明
后台查看
文件上传
App/hsycms/controller/site/commen.php中doupload方法中,后缀允许从数据库中取值$site[‘upload_ext’]
跟进validate方法,判断文件获得后缀是否在数据库中
在App/hsycms/controller/site.php中
12-28行可以将网站信息写入数据库
即可将允许脚本文件传入数据库。(数据库中存在允许上传文件后缀)
演示:
登录后台
来到上传设置添加php为允许
来到一个上传点
上传图片格式的php文件,bp抓包修改后缀
访问