ZZCMS v8.3二阶注入之一次当心的打听

访客6年前黑客工具548

萌新入坑PHP代码审计中╭(°A°`)╮选了这个易上手CMS,费尽心思审计出了一个风趣的二阶注入,满足的睡了,第二天计划写文档的时分,居然发现……
0×00 缝隙代码
用户在发布资讯时,虽然对POST数据运用了addslashes函数,可是因为editor参数可控依旧能够刺进结构好的Payload
/user/zxsave.php 第51行:

在检查用户发布的资讯时,会查询文章id所对应的相关信息。
/zx/show.php 第36行:

会依据该资讯id,需求具有的检查信息的用户组等级(groupid)来进行判别,假如groupid不为0,而且检查资讯时需求花费积分时,那么便会调用Payif函数。
/zx/show.php 第155行:

假如用户积分剩余检查资讯的积分时,那么便会:
减去检查者对应的积分(依据cookie里边的Username参数);
添加发布者对应的积分(依据检查文章对应信息里边的editor字段);

/zx/show.php 第92行:

例如:
1.正常形式下:editor=admin,$jifen=10时,那么第二条查询句子就是:
update zzcms_user set totleRMB=totleRMB+10 where username = 'admin'
假如 editor=’ and groupid=(select sleep(3)) — – 时,那么第二条查询句子就是:
update zzcms_user set totleRMB=totleRMB+10 where username = '' and groupid = (select sleep(3)) -- -'
此刻我们便可依据页面所呼应的时刻,来判别查询句子是否成功了。
0×01 运用缝隙
能够看到普通用户的groupid是1。

在发布资讯是能够挑选vip用户才干检查或许高档会员检查,或许直接在BurpSuite中修正groupid为2,并设置检查积分为大于0的值:

在检查该信息时能够看到,添加了约束:

此刻将editor设置为我们的Payload:

此刻在检查资讯时便能够看到呼应时刻的反常:

我们最终传入数据库的SQL句子如下,能够看到,这样的话我们每履行一次查询句子便加不了10积分,而检查资讯却需求10积分,这样说来,履行一次Payload需求十积分,通过测验,最少也是1分,这…也太豪了。
update zzcms_user set totleRMB=totleRMB+10 where username = TEag1e” and groupid = (select sleep(3)) — -’
通过我思考后,我将and逻辑运算符替换为了or逻辑运算符,酱紫的话,便能够减10,加10了,一分钱不花了
然后说一下我遇到的坑/新GET到的细节:
MySQL中在运用or逻辑运算符时,假如前面的条件现已将数据库中的成果悉数挑选出来了,那么or后边的条件便不会在进行履行了。
例如:此刻数据库中满是groupid为1的用户

假如SQL句子是:
update zzcms_user set totleRMB=totleRMB+10 where groupid = 1 or username = (select sleep(3))
那么username后边的自查询便不会履行,而假如运用的是and逻辑运算符的话,假如and前面的条件一条数据也查询不出来时,那么and后边的子查询句子便也不会履行了。
0×02 第二天醒来
第二天,我正要写文档的时分,发现咋就失利了呢,等我回到数据库中时,发现editor字段居然设置了50个字符的约束,好惨…

虽然有些丢失,可是我并不泄气,究竟缝隙被疏忽的多了现已习惯了。。
0×03 一些小东西
上文笔者现已说过了,看积分文章时:
1.减去检查者对应的积分(依据cookie里边的Username参数);
2.添加发布者对应的积分(依据检查文章对应信息里边的editor字段)。
通过测验发现此处存在逻辑缝隙,未校验cookie里边Username参数,那么发布资讯时,将editor设置为我们自己的用户名,在检查我们结构的需求花费积分的资讯时,将cookie里边的Username设置为其他用户的用户名。

[1] [2]  黑客接单网

相关文章

免费的黑客接单_找黑客帮我找人

管道履行日志脚本转化日志依据360互联网安全中心的数据(包含360安全卫士和360杀毒的查杀数据),2018年算计430余万台计算机遭受勒索病毒进犯(只包含国内且不含WannaCry数据)。 值得重视...

诚信黑客 黑客接单_找黑客弄回彩票提不出来的钱-黑客接单平台

该渠道供给webshell列表、WordPress缝隙列表、网站注入点办理等功用。 在产品更新记载中还能够看到对struct缝隙进犯、SQLMAP注入进犯等的更新记载。 妹纸:谢谢我国菜刀 ipsca...

微信显示,找黑客攻击私服一次多少钱,上网找黑客让交协议费

else if (!String.IsNullOrEmpty(typeValue = context.Request.QueryString["theme"])) {...

网络赌博被骗报案了可以撤诉吗

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708 Windows Server 2008...

身份证号码核查-qq空间技术网

假如没看的话,我先带咱们温习一下昨日晚上都说了哪些作业sudo apt-get update最终两项便是在互联网或自动或被迫但现已形成信息走漏的场景,一般只要电商卖家才会运用这种电话进行推广,而315...

Windows Server 2008 R2下将nginx安装成windows体系服务

 一直在Linux渠道上布置web服务,可是最近的一个项目,有必要要用windows,不得已再次研讨了nginx在windows下的体现,由于Apache httpd在Windows下体现其实也不算太...