黑帽联盟

标题: 最新phpcms v9.6.0 sql注入漏洞分析 [打印本页]

作者: yun 时间: 2017-4-11 16:34
标题: 最新phpcms v9.6.0 sql注入漏洞分析
昨天爆出来的，但其实在此之前就i记得在某群看见有大牛在群里装逼了。一直也没肯告诉。现在爆出来了。就来分析一下。官方现在也还没给出修复。该文不给出任何利用的EXP。

该文只做安全研究，不做任何恶意攻击！否则一切后果自负！

问题函数：swfupload_json

所在所在地址：phpcms/modules/attachment/attachments.php

看到src这个参数被safe_replace函数给处理了。跟进这个函数看一下是如何处理的。

跟进函数：safe_replace

函数所在地址：phpcms/libs/functions/global.func.php

从过滤中可以看出，过滤了%27如此单引号就没戏了？不然！倘若是

127.0.0.1/xishaonian.php?id=1%*27

复制代码

可以看到鑫号(*)也是被过滤的。如果他直接将*替换为空以后那么就组合成了%27

这里分析出该处可能含有注入绕过以外那么我们来追踪一下src这个变量。

再来回到swfupload_json函数

$arrr被进行了json_encode

不太懂json_encode。临时学习了一下：

很不错的函数介绍：https://bbs.cnblackhat.com/thread-1667-1-1.html

这个函数的功能是将数值转换成json数据存储格式。

这好尴尬啊，json数据储存格式还是不懂.

科普传送门：http://baike.baidu.com/link?url=LtkLSO2W56XllkOp1yVIHbfA5kfC6iIpDo6lrP4CJihzPp0R2D1kDtgViUqcR60Q1kdxbujcJZkBBnfJptEGBq

然后又经过了param::get_cookie是加密为cookie

12.png (126.92 KB, 下载次数: 4)

13.png (115.83 KB, 下载次数: 4)

作者: 愤怒的肥皂 时间: 2017-4-12 10:57
好好看，好好学

作者: wsl1990 时间: 2017-5-5 19:06
好

作者: qiaoqingyi 时间: 2018-5-5 21:19
看看是什么东西···

作者: song1021165315 时间: 2019-5-14 18:26
大武当无多哇多

作者: zhang1230 时间: 2019-6-2 19:15
谢谢版主分享

作者: cdseo 时间: 2019-6-25 13:45
看看学习学习

欢迎光临黑帽联盟 (https://bbs.cnblackhat.com/)