74cms漏洞分析

2022-09-07 21:03:11 字數 2140 閱讀 6851

很早以前的乙個洞,看到很有意思就拿來看看

這是雨曾經審過的乙個洞,因為讀取方式很特別復現了一下

首先看到乙個sql語句

$idresult = $this->query("select id from ".$wheresql.$orderbysql.$limit);

倒回去跟進幾個變數

$orderbysql=" order by refreshtime desc"

$limit=" limit 6";

且當$keyword!=n/j時

$wheresql.=" where likekey like '%%' ";

接著看$keyword

重點來了$poststr = $globals["http_raw_post_data"];

$globals["http_raw_post_data"]這個東西其實基本上等於$_post

唯一一點區別就是前者能接受不是php能識別的東西。

$poststr就是直接post過來的資料,沒有經過任何處理,而且$globals["http_raw_post_data"]這樣傳入進來的資料

可以無視gpc。

$postobj = ******xml_load_string($poststr, '******xmlelement', libxml_nocdata);當然這裡的$poststr應該是傳入

xml然後經過simpxml_load_string解析。然後把xml解析過後的直接傳入content這就可以導致任意檔案讀出。

接著再看看條件

if(!$this->checksignature())

跟進這個函式看看

在131到150行

private function checksignature()

else

}}

所以在預設條件下,沒有wx_token時,這個$tmpstr == $signature==da39a3ee5e6b4b0d3255bfef95601890afd80709,這是乙個固定的值了,我們是完全可以利用上面的漏洞讀入任意檔案。

構造pyload

<?xml version="1.0" encoding="utf-8"?>

]>

post傳入這個可以讀取

74CMS 騎士人才系統 幾個注入 可進後台

整套程式過濾的還是比較全面的 不過所有版本都是gbk編碼是他的硬傷 但是基本上字串入庫的時候作者都使用了iconv來把提交過來的資料編碼轉換成utf8 所以利用寬字元注入就沒辦法了 但是過濾完善僅限3.2版本之前 最新的3.2版本plus目錄多了幾個檔案 不知道是不是換了程式設計師了.先上兩個白痴注...

74CMS 3 0 SQL注入漏洞前台

1.雙擊執行桌面phpstudy.exe軟體 2.點選啟動按鈕,啟動伺服器環境 1.雙擊啟動桌面seay源 審計系統軟體 2.因為74cms3.0源 編輯使用gbk編輯,所以首先需要先將編碼改成gbk 3.點選新建專案按鈕,彈出對畫框中選擇 c phpstudy www 74cms 點選確定 漏洞分...

齊博cms漏洞分析

還是很早之前爆出來的漏洞,現在拿出來學習一下,參考阿里巴巴 漏洞發生在 inc common.inc.php頁面中。首先看這個函式 首先使用ini get來獲取php.ini中變數 register globals 的值,而register globals代表的意思是提交的請求是否註冊為全域性變數,...