0x01 前言
有段時間沒有發(fā)文章了,主要沒挖到比較有意思的漏洞點(diǎn)。然后看最近爆了很多關(guān)于S-CMS的漏洞�����,下載了源碼簡單挖了一下然后給大家分享一下��。
0x02 目錄
Wap_index.php sql注入Form.php Sql注入Input�、query
0x03 插曲
這里分享一下在審計的時候自用的一段代碼�。
$debug=function(){
$logFile='C:\\Users\\DELL\\Desktop\\debug.txt'; //輸出的文件
$param=func_get_args(); //獲取傳入函數(shù)的參數(shù)
if (count($param)>0){
$str=serialize($param); //序列號
if($str){ //存在就寫入
$str=file_get_contents($logFile)."\r\n\r\n".__FILE__.":\t\t".$str;
file_put_contents($logFile,"\t\t".$str);
}else{ //不存在寫入Null
$str=file_get_contents($logFile)."\r\n\r\n".__FILE__.":\r\n".$str;
file_put_contents($logFile,"\t\tNull");
}
}
};$debug($x,$a,$b); //這里$x,$a,$b都是要查看的變量。
主要用這個的話個人感覺比較方便��,平常測試都是var_dump();die;來查看����。然后當(dāng)die后,頁面還是沒有打印內(nèi)容�,用這個函數(shù)還是相對比較方便的�。當(dāng)然用phpstorm下斷點(diǎn)挺好的����,不過個人不太喜歡。主要還是我懶�。
0x04 Wap_index.php sql注入
漏洞文件:\scms\wap_index.php這個文件的話不止這一處Sql注入,這里只寫這一個�。漏洞行號:90-96
case "text":
$debug("select * from SL_text where T_id=" . $S_id, "T_title");
if (getrs("select * from SL_text where T_id=" . $S_id, "T_title") == "") {
box("菜單指向的簡介已被刪除,請到“菜單管理”重新編輯", "back", "error");
} else {
$page_info = ReplaceLableFlag(ReplaceWapTag(CreateHTMLReplace(CreateText(ReplaceWapPart(LoadWapTemplate($style, $S_id)) , $S_id))));
}
break;
S_id直接從GET獲取無單引號拼接進(jìn)了sql語句
if(isset($_GET["S_id"])){
$S_id = $_GET["S_id"];
}else{
$S_id = "0";
}
這套CMS核心全帶全都加密處理了所以我們看不到他的過濾方法�,不過當(dāng)出現(xiàn) union select 等的時候都直接退出了,沒有繼續(xù)往下執(zhí)行���。研究發(fā)現(xiàn)當(dāng)傳入select(user())能正常執(zhí)行�,不過嘗試union(select(1)) 的時候也沒有執(zhí)行����,應(yīng)該是直接正則匹配的union這個單詞,而select匹配了前后的空格��。
漏洞演示:
$debug保存下來的信息��。
D:\phpStudy\PHPTutorial\WWW\scms\wap_index.php: a:2:{i:0;s:58:"select * from SL_text where T_id=1 and (select(user())!=1)";i:1;s:7:"T_title";}
Mysql.log
正常執(zhí)行了sql語句���。S_id=1 and (select(user()) from sl_reply 同樣可以正常執(zhí)行�,可通過盲注爆數(shù)據(jù)。
0x05 Form.php Sql注入
漏洞文件:\scms\form.php
漏洞Action:input
if($action=="input"){
if ($_POST["code"]!=$_SESSION["CmsCode"]){
echo "<div style='height:500px'></div>";
box(lang("驗(yàn)證碼錯誤�!/l/Verification code error"),"back","error");
}else{
$R_time=date('Y-m-d H:i:s');
$R_rid=gen_key(15);
foreach ($_POST as $x=>$value) {
if ($x>0){
if ($_POST[$x]==""){
box(lang("請?zhí)钊珒?nèi)容后提交���!/l/Please fill in the full content to submit!"),"back","error");
die();
}else{
if (!IsValidStr($_POST[$x])){
box(lang("您輸入的內(nèi)容有敏感字符����,請重新輸入���!/l/The contents you have entered are sensitive characters, please re-enter!"),"back","error");
}else{
$debug("Insert into SL_response(R_cid,R_content,R_time,R_rid,R_member) values(".$x.",'".htmlspecialchars($_POST[$x])."','".$R_time."','".$R_rid."',".$M_id.")");
mysqli_query($conn,"Insert into SL_response(R_cid,R_content,R_time,R_rid,R_member) values(".$x.",'".htmlspecialchars($_POST[$x])."','".$R_time."','".$R_rid."',".$M_id.")");
}
}
}
}
if ($F_cq>0){
mysqli_query($conn,"Insert into SL_query(Q_code,Q_content,Q_sort) values('".$R_rid."','".date('Y-m-d H:i:s')."__用戶提交表單����,等待處理"."',".$F_cq.")");
box(lang("提交成功���,查詢碼 ".$R_rid."/l/success!code ".$R_rid.""),$C_dir.$url_to,"success");
}else{
box(lang("提交成功�����!/l/success!code ".$R_rid.""),$C_dir.$url_to,"success");
}
sendmail("您的網(wǎng)站有新的表單提交","<h2>您的網(wǎng)站“".lang($C_webtitle)."”有新的表單提交</h2><hr>請進(jìn)入“網(wǎng)站后臺” - “表單系統(tǒng)” - “查看統(tǒng)計”查看詳情�����!",$C_email);
}
}
這里簡單看些邏輯�����,先判斷code驗(yàn)證碼是否錯誤��,如果為False不錯誤�,進(jìn)入foreach循環(huán),判斷$x(也就是 $_POST的key)>0這里就可以通過php弱類型比如1a>0 為True 這個不多介紹了�,然后如果$_POST[$x] 不為空,繼續(xù)檢測$_POST[$x] 是否存在敏感字符�,然后拼接sql語句。
整個流程就這樣了���,漏洞觸發(fā)點(diǎn)就是$x�,它檢測敏感字符只檢測了$_POST[$x]內(nèi)容��,而沒檢測$x����,而且直接拼接入了sql語句導(dǎo)致SQL注入。
漏洞演示:
http://127.0.0.1/scms/form.php?action=input&S_id=0code=ywu7&1//and//(1//like//1)=121
$debug記錄
D:\phpStudy\PHPTutorial\WWW\scms\form.php: a:1:{i:0;s:147:"Insert into SL_response(R_cid,R_content,R_time,R_rid,R_member) values(1//and//(1//like//1),'121','2018-12-05 15:27:00','WjWEpX8YIK6cfeq',6)";}
漏洞文件:\scms\form.php
漏洞Action:query
if ($action=="query"){
$Q_sort=$_POST["Q_sort"];
$Q_code=$_POST["Q_code"];
if ($_POST["code"]!=$_SESSION["CmsCode"]){
echo "<div style='height:500px'></div>";
box(lang("驗(yàn)證碼錯誤���!/l/Verification code error"),"back","error");
}else{
$sql="select * from SL_query where Q_sort=".$Q_sort." and Q_code like '".$Q_code."'";
$result = mysqli_query($conn, $sql);
$row = mysqli_fetch_assoc($result);
這個相對簡單不多說����,$Q_sort從post獲取,無過濾直接拼接進(jìn)sql語句導(dǎo)致sql注入����。
Payload:http://127.0.0.1/scms/form.php?action=query&S_id=0code=t5o9&Q_sort=1 and 1=1
0x06 結(jié)束語
以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助��,也希望大家多多支持腳本之家�。
