**
還是很早之前爆出來的漏洞,現在拿出來學習一下,參考阿里巴巴:
漏洞發生在/inc/common.inc.php頁面中。首先看這個函式:
首先使用ini_get來獲取php.ini中變數'register_globals'的值,而register_globals代表的意思是提交的請求是否註冊為全域性變數,取值為off和on,一般預設配置為off,那麼將會執行extract()函式。
extract()函式是對於提交的$_file變數,如果已經賦值那麼將跳過,不進行賦值操作,如果沒有賦值,那麼進行初始化操作。
並且與此同時,齊博cms並未對$_file進行過濾操作。
因此,我們只需要找到乙個未進行初始化的變數,已$_file的形式提交,那麼他會自動的給你乙個賦值,並且沒有進行過濾,如果參與到sql注入語句中,那麼就可能形成注入。
這裡還是以/member/comment.php檔案中的變數$ciddb為例。
這裡的ciddb變數沒有進行初始化操作,並且參與了sql語句,因此只需要通過$_file的形式提交該ciddb變數,從而對其進行覆蓋,完成注入,過程如下:
首先構造上傳表單頁面,原始碼如下:
提交後抓包,並修改filename為payload,成功注入。
齊博cms 7 0 漏洞分析
還是很早之前爆出來的漏洞,現在拿出來學習一下,參考阿里巴巴 漏洞發生在 inc common.inc.php頁面中。首先看這個函式 首先使用ini get來獲取php.ini中變數 register globals 的值,而register globals代表的意思是提交的請求是否註冊為全域性變數,...
齊博CMS的sql注入漏洞學習
今天看到了asrc上面對某個cms的漏洞分析的文章 感覺阿里大牛在寫漏洞分析的時候還是有點謹慎,利用方式什麼就更不能說了。漏洞的原因就是 inc common.inc.php 中的這一段 if ini get register globals 這段 的含義就是把 php接收到的 files 請求的陣...
74cms漏洞分析
很早以前的乙個洞,看到很有意思就拿來看看 這是雨曾經審過的乙個洞,因為讀取方式很特別復現了一下 首先看到乙個sql語句 idresult this query select id from wheresql.orderbysql.limit 倒回去跟進幾個變數 orderbysql order by...