Destoon 6.0 guestbook.php 通用SQL注入漏洞

作者: 分类: 网络安全 时间: 2017-1-13 13:21 评论: 5条评论 浏览: 1094人看过 标签: 注入漏洞 destoon

14842844351228.jpg

刚看到今天发布了Destoon 6.0 2017-01-09 更新,用我在【代码审计】小密圈里说过的方法,瞬间找到修复的一处SQL注入漏洞。用中午的20分钟,小小地分析一下。

我们先看看diff(左新右老):

14842843330983.jpg

mobile/guestbook.php 中将$_SERVER['HTTP_USER_AGENT']删掉了。分析一下,这里是手机端的留言板,destoon将用户的User-Agent放入了留言内容变量$post[content]中。

而据我对destoon的了解,其全局对GPC做了转义和WAF,但User-Agent没有进行过滤,所以这里有可能存在一个SQL注入漏洞。

所以往后看看吧,其调用了guestbook类的add方法,将$post变量传入:

function add($post) {
    $post = $this->set($post);
    $sqlk = $sqlv = '';
    foreach($post as $k=>$v) {
        if(in_array($k, $this-&g...

阅读全文>>

Wordpress4.2.3提权与SQL注入漏洞(CVE-2015-5623)分析

作者: 分类: 网络安全 时间: 2015-8-18 14:22 评论: 3条评论 浏览: 3395人看过 标签: 注入漏洞 wordpress 越权漏洞

这是我在TSRC实习期间的研究任务X号:http://security.tencent.com/index.php/blog/msg/93

这是这几天一直关注的漏洞了,wordpress上个礼拜发布的4.2.4版本,其中提到修补了可能存在的SQL漏洞和多个XSS。

Check point也很快发出了分析,我也来分析与复现一下最新的这个漏洞。


0x01 GP混用造成的越权漏洞

首先,说明一下背景。wordpress中用户权限分为订阅者、投稿者、作者、编辑和管理员。

权限最低的是订阅者,订阅者只有订阅文章的权限,wordpress开启注册后默认注册的用户就是订阅者。国内很多知名网站,如Freebuf,用户注册后身份即为“订阅者”。

我们先看到一个提权漏洞,通过这个提权漏洞,我们作为一个订阅者,可以越权在数据库里插入一篇文章。

Wordpress检查用户权限是调用current_user_can函数,我们看到这个函数:

image001.png 

调用的has_cap方法...

阅读全文>>

cmseasy最新注入+360webscan的绕过分析

作者: 分类: 网络安全 时间: 2015-4-18 15:17 评论: 7条评论 浏览: 3761人看过 标签: 注入漏洞 WAF绕过 360webscan

    最近一直没什么好文章,只有闲下来挖了几个洞。一般挖洞的时候就没法发文章,因为自己提交上去的洞在公开前是不能泄露的。不过这个洞与乌云某大牛的洞重复了,于是我就发出来一起学习一下。不过这个洞应该有些年头了。

    先下载最新版:http://ftp.cmseasy.cn/CmsEasy5.x/CmsEasy_5.5_UTF-8_20150318.zip。经过神器比对,发现最新版进行了一些功能上的修改,可就是这处修改造成注入。

    /lib/default/archive_act.php 283行

if (front::post('catid')) {

           $cateobj = category::getInstance();
           $sons = $cateobj->sons(front::post('catid'));
           if(is_array($sons) && !empty($sons)){
               $cids = front::post('catid').','.implode(',',$sons);
           }else{
               $cids = front::post('catid');
           }
           $condition .= "catid in (".$cids.") AND ";
           //var_dump($condition);exit;
       }
    $condition .= "catid in (".$cids.") AND ";直接将$cids放入SQL语句,而$cids = front::post('catid');。 由于没有引号包裹,所以造成注入。

    绕过360webscan的方法,还是借助白名单,但方式有点区别……

阅读全文>>

[转载]Mysql下Limit注入方法

作者: 分类: 网络安全 时间: 2015-1-24 14:29 评论: 6条评论 浏览: 5279人看过 标签: 注入漏洞 Mysql limit注入

    很长一段时间我、以及很多同学认为“mysql limit后的注入点”是没办法解决的难题,但这次真的被解决了。我很少转载文章,这次再破个例。

    原文: https://rateip.com/blog/sql-injections-in-mysql-limit-clause/http://zone.wooyun.org/content/18220

   此方法适用于MySQL 5.x中,在limit语句后面的注入 

    例如: 

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT injection_point
   上面的语句包含了ORDER BY,MySQL当中UNION语句不能在ORDER BY的后面,否则利用UNION很容易就可以读取数据了,看看在MySQL 5中的SELECT语法: 
SEL...


阅读全文>>

discuz7.2 faq.php 最新注入漏洞分析

作者: 分类: 网络安全 时间: 2014-7-3 4:49 评论: 2条评论 浏览: 8051人看过 标签: 注入漏洞 discuz

    之前乌云上被提交的漏洞,今天突然被人发出来了,然后就各种中枪。奈何各种考试马上就来了,我也没工夫去写exp或脚本什么的,趁点休息时间把代码看看就好。实话说我很讨厌这种情况,一大堆人会的不会的拿着别人发的exp刷漏洞,刷分刷钱。不如静下心来分析一下漏洞产生的原因,也算是我吃不到葡萄在说葡萄酸吧,笑。

    因为有同学给出POC了,POC如下:

    http://www.xxx.com/faq.php?action=grouppermission&gids[99]='&gids[100][0]=) and (select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema
.tables group by x)a)%23

    QQ图片20140703092618.jpg
    

&n...

阅读全文>>

浅析白盒审计中的字符编码及SQL注入

作者: 分类: 网络安全 时间: 2014-4-19 17:43 评论: 6条评论 浏览: 7985人看过 标签: 注入漏洞 宽字符

在freebuf上莫名地被喷,可能是因为被喷让人气上来了,最后得到的金币比前一篇文章更多。塞翁失马,焉知非福?

尽管现在呼吁所有的程序都使用unicode编码,所有的网站都使用utf-8编码,来一个统一的国际规范。但仍然有很多,包括国内及国外(特别是非英语国家)的一些cms,仍然使用着自己国家的一套编码,比如gbk,作为自己默认的编码类型。也有一些cms为了考虑老用户,所以出了gbk和utf-8两个版本。

我们就以gbk字符编码为示范,拉开帷幕。gbk是一种多字符编码,具体定义自行百度。但有一个地方尤其要注意:

通常来说,一个gbk编码汉字,占用2个字节。一个utf-8编码的汉字,占用3个字节。在php中,我们可以通过输出

echo strlen("和");

来测试。当将页面编码保存为gbk时输出2,utf-8时输出3。

除了gbk以外,所有ANSI编码都是2个字节。ansi只是一个标准,在不用的电脑上它代表的编码可能不相同,比如简体中文系统中ANSI就代表是GBK。

以上是一点关于多字节编码的小知识,只有我们足够了解它的组成及特性以后...

阅读全文>>

emlog后台作者权限SQL注入

作者: 分类: 网络安全 时间: 2014-2-25 18:01 评论: 19条评论 浏览: 7898人看过 标签: 注入漏洞 emlog

    实话说,以后不想再挖web漏洞了,也不想发这类文章,web的东西搞来搞起就是那个样,我原本就不想深入,想那些大神一样能把一个cms分析得透彻。我有时候只是泛泛地看,泛泛地找一些简单的漏洞,深入又得花不少时间,而且做出的东西也不一定尽如人意。前段时间总有种刷分刷钱的想法,结果后来都是化为泡影,估计也是因为自己对待漏洞的态度不正确,有时候也是受到他人的影响。

    前几天某人问到我的一个学长,我才知道有些人虽然不常在网络上出现但实际上真正有实力的人完全不需要混脸熟。曾经我没接触web的时候多么向往去成为一个能写木马的人,也曾经确确实实分析过一段时间的gh0st,写过一些C++程序。

    这几天有个朋友在我博客留言问我为什么gh0st的文章不继续写了,我无言以对。自己这么久执迷于python和php,似乎完全忘记自己的初衷。半年前我曾经抱怨自己,学了很多东西但实际上有关安全的知识自己知道的并不多,诸如逆向、免杀、漏洞分析。半年后的我虽然真正去研究起安全(不敢说精通web安全但也对各种web漏洞十分熟悉),但真的像自己想的那...

阅读全文>>

HDwiki时间延迟盲注及利用代码

作者: 分类: 网络安全 时间: 2014-2-25 17:20 评论: 4条评论 浏览: 7190人看过 标签: 注入漏洞 hdwiki

    hdwiki某处对referer未做过滤,造成sql注入
    但因为没有输出点,只能做盲注。
    基于时间的盲注脚本已写好,测试可注入出“光明网百科”等百科网站的管理员密码md5值:

    t01584d474b55919165.jpg

    在文件/model/user.class.php 第41行add_referer函数:

function add_referer(){
		if($_SERVER['HTTP_REFERER']){
			$this->db->query("UPDATE ".DB_TABLEPRE."session SET referer ='".$_SERVER['HTTP_REFERER']."' WHERE sid='".base::hgetcookie('sid')."'", '1');
		}
	}
 &nbs...


阅读全文>>

AppCMS注入及评论xss漏洞

作者: 分类: 网络安全 时间: 2013-12-26 12:51 评论: 1条评论 浏览: 6001人看过 标签: 0day 注入漏洞 appcms
近期在法客上发表的文章,在博客里做个整理。

0x01 漏洞演示
Appcms是一款开源cms系统,适合做手机应用类的网站。官网地址:http://www.appcms.cc/
这是默认首页,看起来挺不错的:
01.jpg

Sql注入,当时官网演示站的管理账号密码(现在官方已经补了):
02.jpg

xss打后台:
03.jpg

0x02 SQL注入原理

  下载最新版本appcms_1.3.890。
  查看index.php,有一段似乎是限制了搜索词的代码:

阅读全文>>

四种简单的漏洞获取webshell解析

作者: 分类: 网络安全 时间: 2013-2-20 1:03 评论: 0条评论 浏览: 5188人看过 标签: 渗透 上传漏洞 注入漏洞 一句话木马

    很多新手对一些漏洞还有很多不懂,什么情况下用什么漏洞,什么情况下不能用这个漏洞,我自己的见解也不太深。正因如此,我才会想到一些菜鸟才会想到的问题,然后去解决。通过解决这些问题,大家可以学习经验。因为我也是最近才接触,所以应该说是很多东西都还记得,所以趁这时候录点视频,以免以后我自己忘了的时候还能拿出来温习一下。

    这个视频讲了4个漏洞,实战练习,...

阅读全文>>

Top ↑ sitemap More