PHPCMS2008广告模板SQL注入漏洞修复

分类:phpcms作者:编程之家用户

《PHP实战:PHPCMS2008广告模板SQL注入漏洞修复》要点:
本文介绍了PHP实战:PHPCMS2008广告模板SQL注入漏洞修复,希望对您有用。如果有疑问,可以联系我们。

00 漏洞描述PHP实例

PHPCMS2008由于广告模块取referer不严,导致一处sql注入漏洞.可以得到管理员用户名与密码,攻击者登录后台后可能会获取webshell,对服务器进行进一步的渗透.PHP实例

01 漏洞分析PHP实例

漏洞产生的位置:PHP实例

/ads/include/ads_place.class.phpshow方法中.PHP实例

function show($placeid)
...
if($adses[0]['option'])
{
foreach($adses as $ads)
{
$contents[] = ads_content($ads,1);
$this->db->query(“INSERT INTO$this->stat_table(`adsid`,`username`,`ip`,`referer`,`clicktime`,`type`)VALUES (‘$ads[adsid]','$_username','$ip',‘$this->referrer',‘$time','0')”);
$template = $ads['template'] ? $ads['template'] : 'ads';
}
}
...

sql语句中PHP实例

$this->db->query(“INSERT INTO$this->stat_table(`adsid`,'0')”);

这里$this->referrer过this方法直接将HTTP请求头中的referer字段插入到数据库中,没有做任何过滤措施.(这个this方法是PHPCMS里面直接封装的).PHP实例

所以现在已经找到漏洞点,下一步就是找包含漏洞的用户可控的页面.如果漏洞是用户不可控的,比如只能管理员利用,那就相当的鸡肋了.PHP实例

这里使用回溯的方法,看看哪些页面调用了它.PHP实例

页面/ads/include/commom.inc.phpPHP实例

<?php 
...
require MOD_ROOT.'include/ads_place.class.php';
require MOD_ROOT.'include/ads.class.php';
...
?>

在往上看看谁调用了/ads/include/commom.inc.phpPHP实例

/ads/ad.php文件中PHP实例

<?php
...
require './include/common.inc.php';
...
?>

ad.php文件为用户可控文件,但ad.php有时不能访问,继续向上查找/data/js.phpPHP实例

<?php
chdir(‘../ads/');
require ‘./ad.php';
?>

在用户访问首页时,会调用js.php,通过该文件可以提交有害字段,然后通过逐层调用,传入字段referer到危险方法show,引入SQL注入攻击.PHP实例

02 漏洞利用PHP实例

修改请求头中的referer字段的话有很多种,比如burpsuite,Tamper Data…PHP实例

这里直接使用火狐的Tamper Data进行修改:PHP实例

点击Start Tamper,然后访问http://your-addr/data/js.php?id=1PHP实例

这时候Tamper Data会跳出来,在右边框内,点击右键,添加一个element值填写payloadPHP实例

referer=1',(SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),char(45,45,45),(SELECT password from phpcms_member limit 1))a from information_schema.tables group by a)b),‘0')#

这里我解释一下:因为漏洞的sql语句是INSERT是不回显的,所以可以使用盲注,这里的payload使用的floor报错注入.floor报错注入原理请参考:floor函数用法PHP实例

把这个payload带入sql语句中是:PHP实例

$this->db->query(“INSERT INTO$this->stat_table(`adsid`,‘1',‘0')#,'0')”);

PHP实战:PHPCMS2008广告模板SQL注入漏洞修复

PHP实例

03 漏洞修复PHP实例

对相关字段进行过滤处理.PHP实例

$referer = safe_replace($this->referer);
$this->db->query("INSERT INTO $this->stat_table (`adsid`,`type`) VALUES ('$ads[adsid]','$referer','$time','0')");
$template = $ads['template'] ? $ads['template'] : 'ads';

这里safe_replace是PHPCMS2008封装的过滤函数.PHP实例

以上所述是小编给大家介绍的PHPCMS2008广告模板SQL注入漏洞,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的.在此也非常感谢大家对编程之家网站的支持!PHP实例

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐

phpcms排序有什么用?PHPcms排序实现方法介绍
本教程操作系统:Windows10系统、phpcms 9版本、Dell G3电脑。PHPcms排序的作用是什么?
代码审计 phpcmsv9 url模式
PHPcms访问特点:单一入口模式。无论访问任何一个模块或者功能,只有一个统一的入口。参数名称描述位置m模型/模块名称phpcms/moudles中的模块目录名称c控股器名称phpcms/moudles/模块/*.php文件名称a事件名称phpcms/moudles/模块/*.php中的方法名称例子:
PHPCMS v9里面,推荐位ID【posid】的值是如何确定的?
例如:{pc:contentaction="position"posid="2"order="listorderDESC"num="4"}后台-推荐位管理(左边栏最下方),里面可以自定义ID下面为默认的:在V9的后台添加文章页面中的源代码中得知推荐位有5种类型:1首页焦点图推荐2首页头条推荐9网站顶部推荐10栏目首页推荐12首页图片推荐
【转】PHPCMS+PHPExcel实现后台数据导入导出功能
首先,上图之中的红色框框是没有的,我们想要给他加上,当然是要改HTML页面啦,废话,我们跟ECSHOP一样由PHP路径找模板;看看路由原理:   首先,上图之中的红色框框是没有的,我们想要给他加上,当然是要改HTML页面啦,废话,我们跟ECSHOP一样由PHP路径找模板;看看路由原理: 再看看这个板块的
phpcms 调用
头部<metaname="keywords"content="{$SEO['keyword']}"/><metaname="description"content="{$SEO['description']}"/><title>{ifisset($SEO['title'])&&!empty($SE
phpcms多个栏目调用
做网站时用的到的简单的栏目导航()phpcms多个栏目catidin(9,10,11)可以修改id排序orderbylistorderASC/DESC{if}...{/if}为判断点击为栏目下面是一种例子html:<divstyle="width:1000px;height:45px;"class="dh"><ul><liclass="navb"><ahref=&quot
使用PHPCMS搭建wap手机网站
首先在phpcms/libs/functions/extention.func.php里面写入判断手机访问的自定义函数?123456789101112131415161718192021222324252627282930313233343536373839<?php/** *extention.func.php用户自定义函数库 * *@co
phpcms v9编辑器ckeditor设置回车换行br为段落p标签
phpcmsv9和dedecms自带的编辑器都是使用的ckeditor,在默认情况下使用ckeditor编辑内容时,按下回车键后在源代码显示的是<br>而非<p>标签,对于习惯于换行为p标签的我来说极为不便。phpcmsv9编辑器ckeditor设置回车换行<br>为段落<p>标签修改方法:在\statics\js\ckeditor\config.js
PHPCMS后台框架实现思路
原文链接:http://www.cnblogs.com/Republic/p/4783705.htmlPHPCMS后台框架实现思路【原创】时间 2014-11-2710:12:19极客头条原文 http://blogs.zmit.cn/3589.html1.打开后台入口文件admin.phpheader('location:index.php?m=admin');跳转到in
phpcms加载系统类与加载应用类的区别
加载系统类方法load_sys_class($classname,$path=‘’",$initialize=1)系统类文件所在的文件路径:/phpcms/libs/classes/文件夹下参数说明:@paramstring$classname类名@paramstring$path扩展地址@paramintgerinitialize是否初始化如要调用系统Form类的生
phpcms 多站点配置
**1.F:…\caches\configs\route.php文件中配置路径2.F:…\caches\configs\url_route.php配置第二个站点的301跳转,根据站点id加载不同的路由.3.删除入口的加载文件4创建…phpcms\modules\content\classes\template_style.class.php由$_SERVER[‘HTTP_HOST’]
PHPCMS的产品筛选功能
如下图所示功能: 首先,用下面这些代码替换掉phpcms/libs/functions/extention.func.php的内容<?php/***extention.func.php用户自定义函数库**@copyright(C)2005-2010PHPCMS*@licensehttp://www.phpcms.cn/license/*@lastmodify
phpcms 调用
头部<metaname="keywords"content="{$SEO['keyword']}"/><metaname="description"content="{$SEO['description']}"/><title>{ifisset($SEO['title'])&&!empty($S
phpcms添加https后台分页错误的解决方法
今天修改一位客户的phpcms网站,他要求添加https,这对ytkah来说是轻车熟路了,但是后台稍微有点问题,点击分页出现错误,将鼠标移到下一页显示的链接是https://www.abc.com/www.abc.com/index.php?m=content&c=content&a=init&menuid=822&catid=37&pc_hash=GsxXx8&page=2,很明显是多了一
nginx配置phpcms v9伪静态规则 phpcms伪静态 404 Not Found
location/{if(!-f$request_filename){rewrite(.*)/index.php;}rewrite^/caipu-([0-9]+)-([0-9]+)-([0-9]+).html/index.php?m=content&c=index&a=show&catid=$1&id=$2&page=$3last;rewrite^/content-([0-9]+)-([0-9]+)-([0-9]+).html/ind
phpcms有二级导航并且高亮效果代码
截图:
phpcms导航菜单的写法
PHP打印方法: {php&#160;print_r(变量);} {php&#160;print_r(变量);} &lt;?php&#160;print_r(变量);?&gt; 1. &lt;div
phpcms配置列表页以及获得文章发布时间
调用一级栏目名称跟二级栏目名称:
phpcms修改图片水印
phpcms如何修改图片水印呢1、首先准备一张水印图片,命名为mark png(名字随意),放到网站根目录statics images water 文件夹下2、进入网站后台,单击 设置->站点管理,修改站点,如下图所示,进行相关参数设置即可
针对PHPCMS绑定二级域名地址不正确问题分析
就目前phpcms2008下PHPCMS绑定二级域名地址不正确问题分析,在生成栏目的url时有bug,如下所示:比如当栏目wfuyu 绑定二级域名为http: wfuyu phpcms com存在路径为 parentdir=& 39;ja ywja ydzd
pythonJavaScriptjavaHTMLPHPreactjsC#AndroidCSSNode.jssqlrpython-3.xMysqLjQueryc++pandasFlutterangularIOSdjangolinuxswifttypescript路由器JSON路由器设置无线路由器h3c华三华三路由器设置华三路由器电脑软件教程arraysdocker软件图文教程Cvue.jslaravelspring-boot