[PHP代码审计]极致CMS1.6.7 SQL注入审计

最新推荐文章于 2021-06-14 09:21:59 发布
最新推荐文章于 2021-06-14 09:21:59 发布
阅读量1.6k 收藏 4
点赞数 1
分类专栏: PHP代码审计 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoguaiii/article/details/108025600
版权

0x01 前言

最近在学习php代码审计,刚好端午在家的时候菜的没事做,看了下cnvd,发现这个cms中sql注入问题挺多的,hhh,复现玩玩。主要目标就是复现一下网站前台的sql注入。所有均为个人理解,可能有理解错误的地方,还请师傅们指正。
在这里插入图片描述
此Cms下载链接https://www.jizhicms.cn/thread-95-1-1.html

0x02 cms目录架构

这个cms目录架构大致如下:

├── 404.html
├── A	后台控制文件
├── Conf公共函数
├── FrPHP框架
├── Home前台控制文件
├── Public公共静态文件
├── README.md
├── admin.php后台入口
├── backup备份
├── cache缓存
├── favicon.ico
├── index.php前台入口
├── install
├── readme.txt
├── static静态文件
└── web.config

0x03 函数

主要分析一下进行了过滤的函数(jizhicms_Beta1.6.7\FrPHP\lib\Controller.php)和进行sql处理的函数(jizhicms_Beta1.6.7\FrPHP\lib\Model.php)

3.1 frparam()函数

在此cms中大量调用了frparam()函数,具体代码如下:
jizhicms_Beta1.6.7\FrPHP\lib\Controller.php

// 获取URL参数值
public function frparam($str=null, $int=0,$default = FALSE, $method = null){
   
        
    $data = $this->_data;
    if($str===null) return $data;
    if(!array_key_exists($str,$data)){
   
        return ($default===FALSE)?false:$default;
    }
    
    if($method===null){
   
        $value = $data[$str];
    }else{
   
        $method = strtolower($method);
        switch($method){
   
            case 'get':
            $value = $_GET[$str];
            break;
            case 'post':
            $value = $_POST[$str];
            break;
            case 'cookie':
            $value = $_COOKIE[$str];
            break;
            
        } 
    }
    
    return format_param($value,$int);
    
    
}

这里跟进一下format_param()
jizhicms_Beta1.6.7\FrPHP\common\Functions.php

/**
    参数过滤,格式化
**/
function format_param($value=null,$int=0){
   
    if($value==null){
    return '';}
    switch ($int){
   
        case 0://整数
            return (int)$value;
        case 1://字符串
            $value=htmlspecialchars(trim($value), ENT_QUOTES);
            if(!get_magic_quotes_gpc())$value = addslashes($value);
            return $value;
        case 2://数组
            if($value=='')return '';
            array_walk_recursive($value, "array_format");
            return $value;
        case 3://浮点
            return (float)$value;
        case 4:
            if(!get_magic_quotes_gpc())$value = addslashes($value);
            return trim($value);
    }
}

从这可以看出来,format_param()函数将传递进来的$value变量通过$int变量判断他是整数还是字符串然后做一个相应的处理。
总的来说frparam()函数会对传递的参数进行过滤。

3.2 sql处理函数update()

	    // 修改数据
    public function update($conditions,$row)
    {
   
        $where = "";
		$row = $this->__prepera_format($row);
		if(empty($row))return FALSE;
		if(is_array($conditions)){
   
			$join = array();
			foreach( $conditions as $key => $condition ){
   
				$condition = '\''.$condition.'\'';
				$join[] = "{
     $key} = {
     $condition}";
			}
			$where = "WHERE ".join(" AND ",$join);
		}else{
   
			if(null != $conditions)$where = "WHERE ".$conditions;
		}
		foreach($row as $key => $value){
   
			if($value!==null){
   
				$value = '\''.$value.'\'';
				$vals[] = "{
     $key} = {
     $value}";
			}else{
   
				$vals[] = "{
     $key} = null";
			}
			
		}
		$values = join(", ",$vals);
		$table = self::$table;
		$sql = "UPDATE {
     $table} SET {
     $values} {
     $where}";
		return $this->runSql($sql);
		
		
    }

第28行$sql = "UPDATE {$table} SET {$values} {$where}";可以知道是进行的一个数据的修改操作这里跟进一下runsql($sql)
jizhicms_Beta1.6.7\FrPHP\lib\Model.php

    //执行SQL语句返回影响行数
    public function runSql($sql)
    {
   
        return $this->db->exec($sql);
    }

然后继续跟进exec($sql)
jizhicms_Beta1.6.7\FrPHP\db\DBholder.php

    //执行一条 SQL 语句,并返回受影响的行数
    public function exec($sql)
    {
   
        $this->arrSql[] = $sql;
        $n = $this->pdo->exec($sql);
        if(!$n){
   
            $msg = $this->pdo->errorInfo();
            if($msg[2]) Error_msg('数据库错误:' . $msg[2] . end($this->arrSql));
        }
        return $n;
}

可以注意到第七行代码$msg = $this->pdo->errorInfo(); 也就是说这里会在错误的情况下会有个打印的操作。

由于本身sql处理的函数没有对参数值进行过滤,参数如果没有经过frparam()函数进行处理就会造成sql注入。

3.3 sql处理函数findAll()

首先整个cms的sql执行的函数是在
jizhicms_Beta1.6.7\FrPHP\lib\Model.php下

    // 查询所有
    public function findAll($conditions=null,$order=null,$fields=null,$limit=null)
    {
   
        $where = '';
        if(is_array($conditions)){
   
            $join = array();
            foreach( $conditions as $key => $value ){
   
                $value =  '\''.$value.'\'';
                $join[] = "{
     $key} = {
     $value}";
            }
            $where = "WHERE ".join(" AND ",$join);
        }else{
   
            if(null != $conditions)$where = "WHERE ".$conditions;
        }
      if(is_array($order)){
   
            $where .= ' ORDER BY ';
            $where .= implode(',', $order);
      }else{
   
         if($order!=null)$where .= " ORDER BY  ".$order;
      }
        
        if(!empty($limit))$where .= " LIMIT {
     $limit}";
        $fields = empty($fields) ? "*" : $fields;
        $table = self::$table;
        $sql =
最低0.47元/天 解锁文章
xiaoguaiii
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php mysql只获取一条数据_php mysql 查询只返回第一条数据
weixin_39919948的博客
02-04 3880
php mysql 查询只返回第一条数据$search = mysql_query("select * from `info`"); $search = mysql_fetch_row($search); print_r($search); 结果如下: Array ( [0] => 38 [1] => 文科类 [2] => 2008 [3] =&g...
极致CMS(以下简称_JIZHICMS)的一次审计-SQL注入+储存行XSS+逻辑漏洞.pdf
03-22
极致CMS(以下简称_JIZHICMS)的一次审计-SQL注入+储存行XSS+逻辑漏洞.pdf
php select只有一条_读取数据库如何只取出一条数据????请赐教!
weixin_31437187的博客
03-09 2607
该楼层疑似违规已被系统折叠隐藏此楼查看此楼感谢大家的帮助,我的问题解决了!核心代码如下:if($_POST) {if($_POST['select'] === '') {echo('alert ("请不要查询空信息!");');}else {$select = "select * from `tbl_name`";$query = mysql_query($select);while($fetc...
python tuple用处_Python入门之最少必要知识
weixin_39802784的博客
11-24 104
学习任何的新知识和新技能,基础都是最关键的,就像小的时候学习语文,一定是从拼音开始学起,这是之后学习汉字的基本功,是必须掌握的最基础知识。那学习Python又有哪些最少必要知识呢?学习Python永远都绕不过去的几个知识点是:数据类型、运算符、条件判断、循环、函数、模块。一、数据类型数据类型包含以下六类:Numbers(数字)String(字符串)List(列表)Tuple(元组)Dictiona...
[PHP代码审计]极致CMS1.9存在SQL注入漏洞
Y4tacker的博客
05-25 1216
文章目录写在前面分析 写在前面 本着学习为主的原则,再考虑到利用难度,这里便公开分享挖掘的思路了 分析 尽管这个CMS大部分地方都适用了自带的frparam方法来获取参数,这个函数对我们传入的参数进行了过滤,但不妨有开发者大意的情况,比如下面这个情况就是 漏洞点在于后台的插件配置处,随便安装一个插件,点击配置抓包,其默认为GET请求 但我们跟踪一下底层的代码,在A/c/PluginsController.php下的setconf函数,这里直接将$_POST传入 在A/exts/jizhicmsupdat
sqlmapproject-sqlmap-1.6.7-2-g8c26c67.zip
07-28
在网络安全领域,SQL注入是一种常见的攻击手段,利用这种技术,攻击者可以通过输入恶意的SQL代码来操纵数据库,获取敏感信息甚至控制系统。本文将深入探讨一款强大的SQL注入自动化工具——Sqlmap,特别是基于版本...
SQL Pretty Printer 1.6.7
01-19
SQL Pretty Printer 1.6.7
mycat-server-1.6.7.zip
11-20
6. **动态扩展**:随着业务的增长,可以通过增加新的数据库节点来扩展存储能力,而无需修改应用程序代码。 在实际应用中,Mycat常用于电商、金融、社交等需要处理大量并发请求的场景。例如,电商平台的订单系统,...
RedisView1.6.7.rar
04-16
RedisView稳定版本1.6.7,很流畅,不卡; 下载后直接解压; 运行这个目录文件即可,\RedisView1.6.7\RedisView\RedisView.exe; 配上对应的redis地址和端口; 刷新右侧例表即可查看常用redis数据;
jakarta.mail-1.6.7-API文档-中文版.zip
03-29
赠送源代码:jakarta.mail-1.6.7-sources.jar 包含翻译后的API文档:jakarta.mail-1.6.7-javadoc-API文档-中文(简体)版.zip 对应Maven信息:groupId:com.sun.mail,artifactId:jakarta.mail,version:1.6.7 ...
jizhicms(极致CMS)建站系统-PHP
06-20
极致CMS是一款功能强大,免费开源,无需授权,免费商用,免费二开的建站系统。 极致CMS前台功能: CMS模块:首页,栏目,单页,自定义页面 个人中心:响应式设计个人中心模块,兼容各种PC及手机 关注粉丝:可以关注某个用户,粉丝查看 喜欢收藏:喜欢收藏文章及商品等 评论管理:评论文章/商品 内容投稿:可以在网站上投稿 购物车:临时购物车 我的钱包:金币和积分记录 积分兑换:网站支持用积分兑换,后台设定对应的兑换率 订单中心:订单记录 消息提醒:内置收藏喜欢评论,订单提交等消息提醒,也可以设置中关闭 极致CMS后台功能:layui前端框架 基础模块:商品模块、文章模块、栏目模块、TAG管理、轮播图管理、友情链接、留言管理、评论管理 高级模块:自定义模块、自定义字段(新增各种类型字段) 桌面设置:可以自定义后台界面功能摆放 双端静态生成 支持自动缓存,支持设定页面缓存时间 PC/手机/微信三端可以设定不同模板 自定义栏目URL:无需手动配置伪静态 SEO功能:XML生成,栏目及各模块内置SEO选项 插件中心:可以在线下载/安装插件,可以在线升级系统,提供丰富的插件 支持QQ登录,微信登录 支持微信支付/支付宝支付 支持微信接入/获取微信素材 后台管理员多角色管理:每个角色可以设定不同后台界面(结合桌面设置),每个角色可以指定管理某个栏目 图片管理:各种上传的图片可以进行管理,可以及时删除垃圾图片 自定义系统配置:可以在系统配置中自定义 敏感词过滤:可以设置敏感词过滤,提交时自动检查 极致CMS v1.9.4 更新内容如下: 修复:静态HTML生成问题 修复:导航缓存问题 修复:管理员列表分页数无法设置 优化:session缓存时间 优化:404页面返回404状态 优化:模块中设置栏目不是必选,字段可以在全局栏目使用 优化:栏目模板可以手动填写 优化:图集多附件字段默认text类型 新增:后台角色可以设置发布审核
jizhicms(极致CMS)v1.7.1代码审计引发的思考1
08-03
思考在 CNVD 闲逛的时候看到这款 CMS, 发现常见的用于 getshell 的漏洞都有人提交过,顿时来了兴趣,下载下来经过审计发现漏洞的利用方式和常规方法
sql漏洞的php源码,极致CMS -- PHP代码审计 SQL注入漏洞
weixin_31201555的博客
03-10 304
/**参数过滤,格式化**/function format_param($value=null,$int=0){if($value==null){return '';}switch ($int){case 0://整数return (int)$value;case 1://字符串$value=htmlspecialchars(trim($value),ENT_QUOTES);if(ver...
php每次调用一个表的一条数据,PHP每次只能显示一条数据,求大神帮忙
weixin_33764069的博客
04-14 193
while($info = mysql_fetch_array($sql)){}为了方便分析,请贴出savenewgoods.php晚上会全部贴出,谢谢大家了PHP code?1234567$info=mysql_fetch_array($sql); ……138以下行重写么?最后得while替换到哪里 谢谢不知道 只能显示第一条数据 是什么意思你只给出了发布新商品的表单,并没有显...
17-PHP代码审计——jizhicms1.6.7 sql注入漏洞分析
网络安全
06-14 5205
漏洞说明:jizhicms是一个基于thinkphp框架开发的开源php cms,1.6.7版本以下前台页面和用户中心以下存在几处sql注入,漏洞产生的原因主要是因为对于前台提交的数据过滤不足。 漏洞影响版本: jizhicms_Beta1.6.7以下 漏洞环境: php7.0.12 jizhicms_Beta1.6.7 把jizhicms解压到网站根目录,访问install目录下进行安装,jizhicms目录结构: 目录结构说明: install :用...
极致CMS 漏洞简单分析
ximo的博客
05-02 5011
环境搭建 极致CMS1.6.7 下载地址:https://www.jizhicms.cn/thread-95-1-1.html 目录框架 404.html A 后台控制文件 Conf 公共函数 FrPHP框架 Home 前台控制文件 Public 公共静态文件 README.md admin.php 后台入口 backup 备份 cache 缓存 favicon.ico index.php 前台入口 install readme.txt static 静态文件 web.co
[代码审计]极致CMS1.9.5存在文件上传漏洞
Y4tacker的博客
05-11 2931
文章目录极致CMSv1.9.5存在文件上传漏洞前言分析 极致CMSv1.9.5存在文件上传漏洞 前言 网上看到CNVD爆了,自己闲的没事做也稍微找一下,蛮简单的也挺常见的 分析 准备工作 首先本地创建一个php文件,这里我用1.php,内容为<?php eval($_POST[1]);?>之后把这 个文件压缩为zip后缀压缩包,上传至公网服务器即可,压缩包结构如下所示 漏洞利用点在后台插件安装处,我们任意点击一个插件点击安装抓包 发现url参数可控 在A/c/PluginsControll
php中ifelse同时执行,震惊!if else 竟然同时输出!
weixin_34546240的博客
03-17 686
首先,大家看看这个代码,应该输出什么://示例1if(pcntl_fork()){echo1;}else{echo2;}//示例2if(1){echo1;}elselabel:{echo2;}输出1?还是输出2?但它其实输出的是1和2:为什么呢?在这边,最主要一点在于pcntl_fork函数:pcntl_forkpcntl_fork 函数是php多进程扩展的一个函数,用于创建一个新...
Php里面怎么用foreach有用if,在foreach中的Php elseif条件
weixin_42520277的博客
03-22 389
我有这个问题关于在foreach中的if / elseif条件。我一遍又一遍地搜索,真的没有想法。所以我有这个数组:排列([0] => stdClass Object([title] => main[value] => value1)[1] => stdClass Object([title] => other[value] => value2)[2] =&gt...
typora1.6.7
最新发布
08-01
回答: 根据引用[1]和引用[2]的内容,typora1.6.7的安装过程可以按照以下步骤进行操作:首先,使用脚本文件夹中的License.js文件替换掉workstation\outfile\dec_app\License文件。然后,使用命令行工具运行命令...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值