[代码审计] 中环CMS v2.0 的SQL注入漏洞分析

原创 已于 2022-07-11 10:52:15 修改 · 1.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #sql #数据库

于 2022-07-09 00:21:08 首次发布
本文详细分析了一个使用参数化查询的网站程序如何仍然遭受SQL注入攻击。通过复现漏洞,发现数据与SQL语句在预编译前混合,导致SQL注入。虽然无法进行union注入,但布尔盲注仍有可能。问题源于数据模型方法处理请求参数时,未正确过滤和参数化键名。

目录

前言

漏洞复现

漏洞分析

前言

SQL 注入的本质原因是数据和语句不分离,直接形成一条完整的 SQL 语句字符串,传入到数据库中执行。参数化查询能有效防御 SQL 注入就是针对这一点入手,它将数据和语句分离,语句就是语句,数据就是数据,两者不会混合。

审计时发现一套网站程序使用了参数化查询技术防御 SQL 注入,思路仍然是抓住漏洞的本质,也就是寻找数据和语句混合的处理过程。

漏洞复现

(1)注入点在主页面的搜索文章功能的 sertype 字段:

 这里有两种搜索类型(标题或关键字),接下来可以看到它作为一个参数传输给后端。

(2)在 hackbar 构造POST请求包,发送:

sertype表示搜索类型,search就是搜索的关键词。可以看到正常访问会返回搜索到的文章。

(3)在 sertype 字段注入:1 and 1=1;#

页面显示搜索到的文章。

(4)在 sertype 字段注入:1 and 1=0;#

页面没有返回一篇文章,可以证明这里存在 SQL 注入。

漏洞分析

形成 SQL 注入的过程是在请求参数(键值对)转换成 where 条件子句时,直接将参数的键名拼接到 w

最低0.47元/天 解锁文章
Fantastic Blog CMS SQL注入漏洞(CVE-2022-28512)
千寻的博客
11-28 1472
Fantastic Blog (CMS)是一个绝对出色的博客/文章网络内容管理系统。它使您可以轻松地管理您的网站或博客,它为您提供了广泛的功能来定制您的博客以满足您的需求。 - 它具有强大的功能,您无需接触任何代码即可启动并运行您的博客。 - 该CMS的`/single.php`路径下,`id`参数存在一个`SQL注入`漏洞
Victor CMS SQL注入漏洞( CVE-2022-26201)
千寻的博客
12-01 2114
Victor CMS v1.0 存在二次注入漏洞
代码审计入门 && 原生态sql注入
最新发布
2301_81155391的博客
04-19 901
使用正则搜索的时候 发现这些有个目录的路径 : 我们需要看一下这些目录的作用 (可以查看里面的内容 或者是按照这个英文单词翻译)这个进行搜索一下这个就是广告逻辑 设置广告 这个页面呢可能就是广告商页面 上边的参数可能就是从数据库中 找哪个广告。案例使用的web全是纯手搓的项目 使用思路 1 先使用正则表达式 去查找对应的函数(代码审计就是 寻函数找方法)2、根据web的功能点寻找函数,然后根据函数看变量是否可控,再看函数是否有过滤。这个思路就是根据代码函数找缺陷然后找到功能点的web页面。
记录一次lmxcms审计sql注入到rce审计全过程
weixin_64683116的博客
02-12 1382
欢迎各位师傅关注我的个人公众号: Gat4by前言:马上过年了就要忙起来了,后面大年初一初二可能没时间玩电脑了,趁着这几天手感火热,审一审比较著名的梦想cms。项目源码: http://www.lmxcms.com/down/安装好了这个cms后台进去长这样,看着这界面写的挺糙的,一眼满是漏洞的感觉,今天来审计练习一下RCE漏洞。我审计PHP的CMS的RCE的思路就是先去找是否有eval()函数的存在,先来一手全局查找eval()函数,接着我们锁定eval()函数中是变量而不是预定义常量的。于是来到一处ev
SQL注入:对cms管理系统进行SQL注入,分别使用手工注入和自动化注入两种方法,获取管理员的账号密码。
2401_83124412的博客
06-29 796
进行字符转码:cms_article,cms_category,cms_file,cms_friendlink,cms_message,cms_notice,cms_page,cms_users。id=33 and 1=1 /and 1=2判断。3.爆破字段,猜测数据在cms_users表里面,查看字段,有id,username,password三个字段。回显报错信息,因为联合查询,每列的数据类型不同而报错,将 table_name。传参id=33’,报错’’’,可初步判定存在数字型注入点,进一步验证。
审计一套CMS中的SQL注入
weixin_30790841的博客
08-07 442
漏洞分为系统漏洞和应用漏洞,系统漏洞以二进制漏洞为代表,其挖掘难度较高需要对反汇编和操作系统原理深入理解,而除了系统漏洞以外还有一些应用漏洞,包括不限MySQL,Apache,为代表的Web漏洞,这里我们就挖掘PHP代码层面的漏洞漏洞的挖掘也分为,点对点挖掘漏洞,和分散式挖掘漏洞,这我们主要使用点对点挖掘,在挖掘是我们需要找一些关键字,漏洞本身就是两个条件,可控的函数,和可控的变量...
代码审计】iZhanCMS_v2.1 后台存在多个SQL注入漏洞分析
12-03 814
  0x00 环境准备 iZhanCMS官网:http://www.izhancms.com 网站源码版本:爱站CMS(zend6.0) V2.1 程序源码下载:http://www.izhancms.com/category/Category/index/cid/1 默认后台:http://127.0.0.1/admin/admin/index 默认用户名:admin  密...
中环CMS v2.0
10-08
安全性方面,中环CMS v2.0修复了1.0版本存在的SQL注入问题。SQL注入是一种常见的网络攻击手段,攻击者通过输入恶意的SQL语句来获取、修改或删除数据库中的敏感信息。修复这个问题表明开发团队对系统安全性的重视,...
中环CMS v2.0版本发布:新增缓存功能与安全优化
5. **修复SQL注入问题**: SQL注入是一种常见的安全漏洞,攻击者通过插入恶意SQL代码到输入表单中,从而能够操纵数据库中环CMS v2.0修复了这一问题,表明版本2.0安全性方面有所增强,这对任何网站管理系统来说都...
中环cms v3.0
10-01
中环CMS3.0是一款轻量级开源的内容管理系统。采用OOP方式,是一款高效开源的内容管理系统,产品基于PHP+Mysql架构,可运行在Linux、Windows、MacOSX、Solaris等各种平台上。 请将CMS放到你的
齐博CMS1.0全版本的sql注入漏洞
wanwan的博客
04-03 3526
详见:http://dingody.iteye.com/blog/2195864这里只说一下最后的利用,还是使用原作者指出的那个注入点,虽然value值保存在了两个sql语句里面,这两个语句的列不一样,如果利用第二个语句,会在第一个语句的时候报列不一致的错误;尝试利用第一个语句。我构造的语句是  1' union select password from qibosoft_members;#这里最...
堕落小白的前台sql注入cms代码审计
zhangge3663的博客
01-18 360
大家好我是一只没有灵魂小白鼠每日每夜都为了拿到那一点src的奖金日夜操劳。有一天我翻了翻日历算了一卦,好家伙今天是个挖洞的好日子。我打开电脑略微思考了一下人生我是谁?我在哪?我要干什么?好家伙很快哈一个三连问,问的我突然眼眶湿润默默的流下了没有技术的眼泪。 最后我想了想我还是找个小的cms玩一玩吧,也许这就是菜gou挖洞的心理行动历程吧,也许这会安抚一下我寂寞受伤的心灵吧。 我在网上找了一个某厂商的开源的cms源代码安装好后直接访问: http://127.0.0.1...
PHP-CMS v1.0存在SQL注入漏洞(CVE-2022-26613)
qq_69432323的博客
07-23 428
PHP-CMS v1.0存在SQL注入漏洞,攻击者可获得敏感信息。
动态调试|Maccms SQL 注入分析(附注入盲注脚本)
xiaoi123的博客
08-28 1071
0x01 前言 已经有一周没发表文章了,一个朋友叫我研究maccms代码审计,碰到这个注入漏洞挺有趣的,就在此写一篇分析文。 0x02 环境 Web: phpstudy System: Windows 10 X64 Browser: Firefox Quantum Python version : 2.7 Tools: JetBrains PhpStorm 2018.1.6 x64、Se...
Mura CMS processAsyncObject SQL注入漏洞复现(CVE-2024-32640)
0xSec
05-10 1332
2024年5月8日,互联网上披露其存在CVE-2024-32640 MuraCMS processAsyncObject SQL注入漏洞,未经身份验证的远程攻击者可利用此漏洞 构造恶意请求获取数据库中的敏感信息,深入利用可写入后门文件可造成远程代码执行获取服务器权限。
【某CMS漏洞SQL注入漏洞分析
qingkahui24689的博客
05-15 873
本文直接从一个入口的注入点展开,想找到一条合适的链路到GetShell的完整过程,但是遗憾的是,没能解决6位随机后台地址的问题,故实际利用起来的话,局限性还是有的,姑且称之为一次分享式的尝试性代码审计体验录吧。黑客&网络安全如何学习。
某团购CMSSQL注入漏洞代码审计
蚁景网安学院
03-31 532
0x00 SQL注入漏洞:简单介绍一下SQL语句:通俗来理解就是开发者盲目相信用户,没有严格检查用户输入,导致用户可以输入恶意参数进入程序逻辑,最终拼接恶意参数改变原本的SQL语句逻辑,...
文章管理系统CMS sql注入
Braveyjc的博客
10-28 430
3、判断数据回显位置 id=-1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15。发现只有3和11有回显位置那我们在这两个位置下手获取数据库的名称。2、猜解字段id=32 order by 15。再试试用hex()和unhex()两个函数绕过。5、接下来就获取cms_users表中的字段。这里我先试了将cms编码为16进制。1、首先判断是字符型还是数字型。显示非法混合union查询内容。6、最后查询字段内容。
sql注入实战-cmseasy注入
2301_79915754的博客
08-13 521
分析:拿到安全码,被base64_decode解码,然后被xxtea_decrypt函数解密,全部解密完之后进行反序列化;未授权登陆:实现__construct函数里面的当两个条件,就不会验证check_admin;这里看一下getrow函数是干嘛的:发现'1 desc' 是在对数据库进行操作;然后user似乎跟数据库有关,这里看一下:table这里发现确实跟数据库有关;因为IP是HTTP_X_FORWARDED_FOR来获取的,可以伪造;现在登陆后台查看cookie安全码位置,复制网址并退出登陆;
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值