0x01 前言
有段時(shí)間沒有發(fā)文章了���,主要沒挖到比較有意思的漏洞點(diǎn)�����。然后看最近爆了很多關(guān)于S-CMS的漏洞�����,下載了源碼簡(jiǎn)單挖了一下然后給大家分享一下��。
0x02 目錄
Wap_index.php sql注入Form.php Sql注入Input�、query
0x03 插曲
這里分享一下在審計(jì)的時(shí)候自用的一段代碼��。
$debug=function(){
$logFile='C:\\Users\\DELL\\Desktop\\debug.txt'; //輸出的文件
$param=func_get_args(); //獲取傳入函數(shù)的參數(shù)
if (count($param)>0){
$str=serialize($param); //序列號(hào)
if($str){ //存在就寫入
$str=file_get_contents($logFile)."\r\n\r\n".__FILE__.":\t\t".$str;
file_put_contents($logFile,"\t\t".$str);
}else{ //不存在寫入Null
$str=file_get_contents($logFile)."\r\n\r\n".__FILE__.":\r\n".$str;
file_put_contents($logFile,"\t\tNull");
}
}
};$debug($x,$a,$b); //這里$x,$a,$b都是要查看的變量�。
主要用這個(gè)的話個(gè)人感覺比較方便,平常測(cè)試都是var_dump();die;來查看����。然后當(dāng)die后,頁面還是沒有打印內(nèi)容����,用這個(gè)函數(shù)還是相對(duì)比較方便的。當(dāng)然用phpstorm下斷點(diǎn)挺好的���,不過個(gè)人不太喜歡��。主要還是我懶�。
0x04 Wap_index.php sql注入
漏洞文件:\scms\wap_index.php這個(gè)文件的話不止這一處Sql注入��,這里只寫這一個(gè)。漏洞行號(hào):90-96
case "text":
$debug("select * from SL_text where T_id=" . $S_id, "T_title");
if (getrs("select * from SL_text where T_id=" . $S_id, "T_title") == "") {
box("菜單指向的簡(jiǎn)介已被刪除���,請(qǐng)到“菜單管理”重新編輯", "back", "error");
} else {
$page_info = ReplaceLableFlag(ReplaceWapTag(CreateHTMLReplace(CreateText(ReplaceWapPart(LoadWapTemplate($style, $S_id)) , $S_id))));
}
break;
S_id直接從GET獲取無單引號(hào)拼接進(jìn)了sql語句
if(isset($_GET["S_id"])){
$S_id = $_GET["S_id"];
}else{
$S_id = "0";
}
這套CMS核心全帶全都加密處理了所以我們看不到他的過濾方法����,不過當(dāng)出現(xiàn) union select 等的時(shí)候都直接退出了����,沒有繼續(xù)往下執(zhí)行。研究發(fā)現(xiàn)當(dāng)傳入select(user())能正常執(zhí)行�,不過嘗試union(select(1)) 的時(shí)候也沒有執(zhí)行,應(yīng)該是直接正則匹配的union這個(gè)單詞�����,而select匹配了前后的空格��。
漏洞演示:
$debug保存下來的信息��。
D:\phpStudy\PHPTutorial\WWW\scms\wap_index.php: a:2:{i:0;s:58:"select * from SL_text where T_id=1 and (select(user())!=1)";i:1;s:7:"T_title";}
Mysql.log
正常執(zhí)行了sql語句�。S_id=1 and (select(user()) from sl_reply 同樣可以正常執(zhí)行,可通過盲注爆數(shù)據(jù)�����。
0x05 Form.php Sql注入
漏洞文件:\scms\form.php
漏洞Action:input
if($action=="input"){
if ($_POST["code"]!=$_SESSION["CmsCode"]){
echo "<div style='height:500px'></div>";
box(lang("驗(yàn)證碼錯(cuò)誤!/l/Verification code error"),"back","error");
}else{
$R_time=date('Y-m-d H:i:s');
$R_rid=gen_key(15);
foreach ($_POST as $x=>$value) {
if ($x>0){
if ($_POST[$x]==""){
box(lang("請(qǐng)?zhí)钊珒?nèi)容后提交���!/l/Please fill in the full content to submit!"),"back","error");
die();
}else{
if (!IsValidStr($_POST[$x])){
box(lang("您輸入的內(nèi)容有敏感字符�,請(qǐng)重新輸入����!/l/The contents you have entered are sensitive characters, please re-enter!"),"back","error");
}else{
$debug("Insert into SL_response(R_cid,R_content,R_time,R_rid,R_member) values(".$x.",'".htmlspecialchars($_POST[$x])."','".$R_time."','".$R_rid."',".$M_id.")");
mysqli_query($conn,"Insert into SL_response(R_cid,R_content,R_time,R_rid,R_member) values(".$x.",'".htmlspecialchars($_POST[$x])."','".$R_time."','".$R_rid."',".$M_id.")");
}
}
}
}
if ($F_cq>0){
mysqli_query($conn,"Insert into SL_query(Q_code,Q_content,Q_sort) values('".$R_rid."','".date('Y-m-d H:i:s')."__用戶提交表單�����,等待處理"."',".$F_cq.")");
box(lang("提交成功�����,查詢碼 ".$R_rid."/l/success!code ".$R_rid.""),$C_dir.$url_to,"success");
}else{
box(lang("提交成功�����!/l/success!code ".$R_rid.""),$C_dir.$url_to,"success");
}
sendmail("您的網(wǎng)站有新的表單提交","<h2>您的網(wǎng)站“".lang($C_webtitle)."”有新的表單提交</h2><hr>請(qǐng)進(jìn)入“網(wǎng)站后臺(tái)” - “表單系統(tǒng)” - “查看統(tǒng)計(jì)”查看詳情����!",$C_email);
}
}
這里簡(jiǎn)單看些邏輯,先判斷code驗(yàn)證碼是否錯(cuò)誤����,如果為False不錯(cuò)誤����,進(jìn)入foreach循環(huán)���,判斷$x(也就是 $_POST的key)>0這里就可以通過php弱類型比如1a>0 為True 這個(gè)不多介紹了��,然后如果$_POST[$x] 不為空��,繼續(xù)檢測(cè)$_POST[$x] 是否存在敏感字符�����,然后拼接sql語句����。
整個(gè)流程就這樣了���,漏洞觸發(fā)點(diǎn)就是$x����,它檢測(cè)敏感字符只檢測(cè)了$_POST[$x]內(nèi)容,而沒檢測(cè)$x��,而且直接拼接入了sql語句導(dǎo)致SQL注入�����。
漏洞演示:
http://127.0.0.1/scms/form.php?action=input&S_id=0code=ywu7&1//and//(1//like//1)=121
$debug記錄
D:\phpStudy\PHPTutorial\WWW\scms\form.php: a:1:{i:0;s:147:"Insert into SL_response(R_cid,R_content,R_time,R_rid,R_member) values(1//and//(1//like//1),'121','2018-12-05 15:27:00','WjWEpX8YIK6cfeq',6)";}
漏洞文件:\scms\form.php
漏洞Action:query
if ($action=="query"){
$Q_sort=$_POST["Q_sort"];
$Q_code=$_POST["Q_code"];
if ($_POST["code"]!=$_SESSION["CmsCode"]){
echo "<div style='height:500px'></div>";
box(lang("驗(yàn)證碼錯(cuò)誤����!/l/Verification code error"),"back","error");
}else{
$sql="select * from SL_query where Q_sort=".$Q_sort." and Q_code like '".$Q_code."'";
$result = mysqli_query($conn, $sql);
$row = mysqli_fetch_assoc($result);
這個(gè)相對(duì)簡(jiǎn)單不多說,$Q_sort從post獲取����,無過濾直接拼接進(jìn)sql語句導(dǎo)致sql注入���。
Payload:http://127.0.0.1/scms/form.php?action=query&S_id=0code=t5o9&Q_sort=1 and 1=1
0x06 結(jié)束語
以上就是本文的全部?jī)?nèi)容�����,希望對(duì)大家的學(xué)習(xí)有所幫助��,也希望大家多多支持腳本之家��。
