资讯专栏INFORMATION COLUMN

齐博cms漏洞分析

SHERlocked93 / 2605人阅读

摘要:原理分析还是很早之前爆出来的漏洞,现在拿出来学习一下,参考阿里巴巴漏洞发生在页面中。并且与此同时,齐博并未对进行过滤操作。漏洞利用这里还是以文件中的变量为例。

**

0x01 原理分析

**
还是很早之前爆出来的漏洞,现在拿出来学习一下,参考阿里巴巴:
https://security.alibaba.com/...
漏洞发生在/inc/common.inc.php页面中。首先看这个函数:

首先使用ini_get来获取php.ini中变量"register_globals"的值,而register_globals代表的意思是提交的请求是否注册为全局变量,取值为OFF和ON,一般默认配置为OFF,那么将会执行extract()函数。
extract()函数是对于提交的$_FILE变量,如果已经赋值那么将跳过,不进行赋值操作,如果没有赋值,那么进行初始化操作。
并且与此同时,齐博cms并未对$_FILE进行过滤操作。

因此,我们只需要找到一个未进行初始化的变量,已$_FILE的形式提交,那么他会自动的给你一个赋值,并且没有进行过滤,如果参与到sql注入语句中,那么就可能形成注入。

0x02 漏洞利用

这里还是以/member/comment.php文件中的变量$cidDB为例。

这里的cidDB变量没有进行初始化操作,并且参与了sql语句,因此只需要通过$_FILE的形式提交该cidDB变量,从而对其进行覆盖,完成注入,过程如下:
首先构造上传表单页面,源码如下:






提交后抓包,并修改filename为payload,成功注入。

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/25667.html

相关文章

  • 齐博CMS HMAC+Cookie注入漏洞分析

    摘要:前言首先声明这不是,具体齐博版本就不说了,后面应该有人也发现这个漏洞并且发出来了。那时候对当时的齐博系列进行完整的分析和代码审计,漏洞不少,挑几个有意思的发出来。任意长度最终密文则为由于网络传输字符关系,齐博这里对进行了一次操作。 前言 首先声明这不是0day,具体齐博版本就不说了,后面应该有人也发现这个漏洞并且发出来了。 本文为笃行日常工作记录,文章是大概14年国庆节写的,一直未公开...

    DangoSky 评论0 收藏0
  • 齐博cms漏洞分析

    摘要:原理分析还是很早之前爆出来的漏洞,现在拿出来学习一下,参考阿里巴巴漏洞发生在页面中。并且与此同时,齐博并未对进行过滤操作。漏洞利用这里还是以文件中的变量为例。 ** 0x01 原理分析 **还是很早之前爆出来的漏洞,现在拿出来学习一下,参考阿里巴巴:https://security.alibaba.com/...漏洞发生在/inc/common.inc.php页面中。首先看这个函数:s...

    NoraXie 评论0 收藏0
  • 齐博x1模块后期要加参数的方法

    摘要:频道或插件在后期如果要追加参数的话可以叫用户在后台开发者设置那里手工添加也可以程序那里强制添加大家可以参考评论模块的允许发表评论的用户组是 频道或插件在后期如果要追加参数的话,可以叫用户在后台开发者设置那里手工添加,也可以程序那里强制添加.大家可以参考评论模块的/plugins/comment/admin/Setting....

    番茄西红柿 评论0 收藏2637
  • 途牛原创|无线中心运营研发Redis酷实践

    摘要:从年月开始,的开发由作者目前就职赞助。武器一览无线运营播种机模型动态表单属性中心标签系统权限中心模型位置管理一切皆位置回到主题,下面就为大家详细介绍下,我们如何玩耍。场景包括页面缓存限速器页面性能分析状态统计智能提醒异常线路。 Redis-简介 Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2...

    zoomdong 评论0 收藏0

发表评论

0条评论

SHERlocked93

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<