Supesite 前台注入之四 (select) 及一个小问题。

2014-10-16T00:00:00
ID SSV:93729
Type seebug
Reporter Root
Modified 2014-10-16T00:00:00

Description

简要描述:

集齐了supesite的 Select Update insert delete 注入 准备召唤神兽了。

详细说明:

小问题 supesite 备份数据库的路径为 data/backup_SAS2n5/141007_Pwok71Ei-1.sql backup_随机字符/日期_随机字符.sql 但是这样的在win apache下 很容易用短文件名找到 写个字典 141007声称类似的时间 然后枚举就行了。

<img src="https://images.seebug.org/upload/201410/12014328dad98c1c2bbb71846348ef729a532ccc.jpg" alt="s13.jpg" width="600" onerror="javascript:errimg(this);">


注入 batch.common.php

$name = empty($_GET['name'])?'':trim($_GET['name']); $cid = empty($_GET['cid'])?0:intval($_GET['cid']); $html = false; if(!empty($name) && !empty($cid)) { $item = array(); $query = $_SGLOBAL['db']-&gt;query('SELECT * FROM '.tname($name.'comments').' WHERE cid=\''.$cid.'\'');

像其他文件中的 例如 comment.php里面的 $_GET[name]都做正则了 而这个没有做正则。 导致了注入

<img src="https://images.seebug.org/upload/201410/120146468698169158abcaafe7ae8370ec94b600.jpg" alt="s14.jpg" width="600" onerror="javascript:errimg(this);">

漏洞证明:

<img src="https://images.seebug.org/upload/201410/120146468698169158abcaafe7ae8370ec94b600.jpg" alt="s14.jpg" width="600" onerror="javascript:errimg(this);">