萌新入坑PHP代码审计中╭(°A°`)╮选了这个易上手CMS,费尽心思审计出了一个风趣的二阶注入,满足的睡了,第二天计划写文档的时分,居然发现……
0×00 缝隙代码
用户在发布资讯时,虽然对POST数据运用了addslashes函数,可是因为editor参数可控依旧能够刺进结构好的Payload
/user/zxsave.php 第51行:
在检查用户发布的资讯时,会查询文章id所对应的相关信息。
/zx/show.php 第36行:
会依据该资讯id,需求具有的检查信息的用户组等级(groupid)来进行判别,假如groupid不为0,而且检查资讯时需求花费积分时,那么便会调用Payif函数。
/zx/show.php 第155行:
假如用户积分剩余检查资讯的积分时,那么便会:
减去检查者对应的积分(依据cookie里边的Username参数);
添加发布者对应的积分(依据检查文章对应信息里边的editor字段);
…
/zx/show.php 第92行:
例如:
1.正常形式下:editor=admin,$jifen=10时,那么第二条查询句子就是:
update zzcms_user set totleRMB=totleRMB+10 where username = 'admin'
假如 editor=’ and groupid=(select sleep(3)) — – 时,那么第二条查询句子就是:
update zzcms_user set totleRMB=totleRMB+10 where username = '' and groupid = (select sleep(3)) -- -'
此刻我们便可依据页面所呼应的时刻,来判别查询句子是否成功了。
0×01 运用缝隙
能够看到普通用户的groupid是1。
在发布资讯是能够挑选vip用户才干检查或许高档会员检查,或许直接在BurpSuite中修正groupid为2,并设置检查积分为大于0的值:
在检查该信息时能够看到,添加了约束:
此刻将editor设置为我们的Payload:
此刻在检查资讯时便能够看到呼应时刻的反常:
我们最终传入数据库的SQL句子如下,能够看到,这样的话我们每履行一次查询句子便加不了10积分,而检查资讯却需求10积分,这样说来,履行一次Payload需求十积分,通过测验,最少也是1分,这…也太豪了。
update zzcms_user set totleRMB=totleRMB+10 where username = TEag1e” and groupid = (select sleep(3)) — -’
通过我思考后,我将and逻辑运算符替换为了or逻辑运算符,酱紫的话,便能够减10,加10了,一分钱不花了
然后说一下我遇到的坑/新GET到的细节:
MySQL中在运用or逻辑运算符时,假如前面的条件现已将数据库中的成果悉数挑选出来了,那么or后边的条件便不会在进行履行了。
例如:此刻数据库中满是groupid为1的用户
假如SQL句子是:
update zzcms_user set totleRMB=totleRMB+10 where groupid = 1 or username = (select sleep(3))
那么username后边的自查询便不会履行,而假如运用的是and逻辑运算符的话,假如and前面的条件一条数据也查询不出来时,那么and后边的子查询句子便也不会履行了。
0×02 第二天醒来
第二天,我正要写文档的时分,发现咋就失利了呢,等我回到数据库中时,发现editor字段居然设置了50个字符的约束,好惨…
虽然有些丢失,可是我并不泄气,究竟缝隙被疏忽的多了现已习惯了。。
0×03 一些小东西
上文笔者现已说过了,看积分文章时:
1.减去检查者对应的积分(依据cookie里边的Username参数);
2.添加发布者对应的积分(依据检查文章对应信息里边的editor字段)。
通过测验发现此处存在逻辑缝隙,未校验cookie里边Username参数,那么发布资讯时,将editor设置为我们自己的用户名,在检查我们结构的需求花费积分的资讯时,将cookie里边的Username设置为其他用户的用户名。
[1] [2] 黑客接单网
版本.text:0000000000466AF5 mov rdi, curl "http://localhost/cfreal-carpediem.php?cmd=id>/tmp/1982347...
「黑客在哪里可以接单_怎么找高级一点的黑客-找黑客黑网站什么吗价格」装备署理服务器为PC的IP地址,端口8080(随意),衔接 学会读邮件的标题,而且要查看IP地址。 追捕垃圾邮件的资源是一个好...
网站被黑是常见的事,特别是一些商业类型的网站,有的被竞争对手歹意报复,有的是被博彩,赌博等违法网站挂黑链。网站被黑会有什么影响以及网站被黑后,咱们该怎么办?今日深圳网络营销讲师志超教师为你具体解说...
String : Microsoft-IIS/6.0 (from server string)我国菜刀 ipscan MD5Crack2NBC对Corenumb所反映的状况,敏捷给予了回应。 但到...
运用情形: 在 Web 安全浸透测验常常会面对的一个问题,一起也是 Web 服务器加固方面一个很重要的部分,那便是 Web 服务器对外只敞开一个 80 端口。Web 服务器的安全防护可所以操作系统的端...
return "Hello " + name + " ^_^ ";运用Webshell一般不会在体系日志中留下记载,可是会在网站的web日志中留下Webshell页面的拜访数据和数据提交记载。 日志剖...