T00ls新年礼物之三：Phpcms V9 短消息回复SQL注入

2013-02-05 18:34:19 39 Cond0r 5127 1

modules/message/index.php

public function reply() {

                if(isset($_POST['dosubmit'])) {

                        $messageid = intval($_POST['info']['replyid']);

                        //判断当前会员，是否可发，短消息．

                        $this->message_db->messagecheck($this->_userid);

                        //检查此消息是否有权限回复 

                        $this->check_user($messageid,'to');

                        

                         $_POST['info']['send_from_id'] = $this->_username;

                        $_POST['info']['message_time'] = SYS_TIME;

                        $_POST['info']['status'] = '1';

                        $_POST['info']['folder'] = 'inbox';

                        $_POST['info']['content'] = safe_replace($_POST['info']['content']);

                        $_POST['info']['subject'] = safe_replace($_POST['info']['subject']);

                        if(empty($_POST['info']['send_to_id'])) {

                                showmessage(L('user_noempty'),HTTP_REFERER);

                        }

                        $messageid = $this->message_db->insert($_POST['info'],true);//目测是直接遍历数据，然后key就是column val就是vaules插入。。如info[123']

                        if(!$messageid) return FALSE; 

                        showmessage(L('operation_success'),HTTP_REFERER);

                        

                } else {

                        $show_validator = $show_scroll = $show_header = true; 

                        include template('message', 'send');

                }



        }

mysql.class.php

        public function insert($data, $table, $return_insert_id = false, $replace = false) {

                if(!is_array( $data ) || $table == '' || count($data) == 0) {

                        return false;

                }

                

                $fielddata = array_keys($data);//不出所料

                $valuedata = array_values($data);

                array_walk($fielddata, array($this, 'add_special_char')); //但是处理过，似乎没啥办法注入，反正我是没想到

                array_walk($valuedata, array($this, 'escape_string'));

                

                $field = implode (',', $fielddata);

                $value = implode (',', $valuedata);



                $cmd = $replace ? 'REPLACE INTO' : 'INSERT INTO';

                $sql = $cmd.' `'.$this->config['database'].'`.`'.$table.'`('.$field.') VALUES ('.$value.')';

                $return = $this->execute($sql);

                return $return_insert_id ? $this->insert_id() : $return;

        }

        public function add_special_char(&$value) {

                if('*' == $value || false !== strpos($value, '(') || false !== strpos($value, '.') || false !== strpos ( $value, '`')) {

                        //不处理包含* 或者 使用了sql方法。

                } else {

                        $value = '`'.trim($value).'`';

                }

                if (preg_match("/\b(select|insert|update|delete)\b/i", $value)) { //正则匹配，然后替换

                        $value = preg_replace("/\b(select|insert|update|delete)\b/i", '', $value);

                }

                return $value;

        }

提示：

Unknown column '123\'' in 'field list'

似乎非常鸡肋，没办法利用。。。
在某热心群众的帮助下，发现这个也是可以注入的，so 一点也不鸡肋

类别 Web安全

关于作者

Cond0r136篇文章1277篇回复

评论39次

要评论？请先登录或注册

39楼

loversorry
2013-7-12 19:28

楼主，最终是如何注入没有说啊？能否放公鸡了。用反引号闭合字段后来弄？

回复|@ta|踩(0)|顶(0)
38楼

xiaopeng
2013-4-9 19:26

膜拜洞主，。呵呵

回复|@ta|踩(0)|顶(0)
37楼

luoye
2013-3-12 11:44

感觉现在很少人用phpcms啦，蛋疼

回复|@ta|踩(0)|顶(0)
36楼

xiaofei
2013-3-7 16:30

好像现在大部分都不允许发短消息了- -

回复|@ta|踩(0)|顶(0)
35楼

xiaokis
2013-3-5 22:35

膜拜楼主谢谢你的共享

回复|@ta|踩(0)|顶(0)
34楼

seaman
2013-3-5 21:58

今天遇到一个v9的，没办法入手

回复|@ta|踩(0)|顶(0)
33楼

seaman
2013-3-2 16:32

是不是你通杀啊

回复|@ta|踩(0)|顶(0)
32楼

yours
2013-3-1 08:38

最爱冻住

回复|@ta|踩(0)|顶(0)
31楼

大胆
2013-2-20 21:01

最喜欢看web漏洞的分析咯

回复|@ta|踩(0)|顶(0)
30楼

llehs
2013-2-17 20:12

膜拜洞主

回复|@ta|踩(0)|顶(0)
29楼

Dd.
2013-2-16 14:55

PHPCMS 好造孽哦。。

回复|@ta|踩(0)|顶(0)
28楼

Flamer
2013-2-16 12:20

过年这福利真多。。。

回复|@ta|踩(0)|顶(0)
27楼

gxz520
2013-2-14 22:01

奥，不是鸡肋啊··

回复|@ta|踩(0)|顶(0)
26楼

whatcantuse
2013-2-14 14:33

感谢共享！！！！！！！

回复|@ta|踩(0)|顶(0)
25楼

Leesec
2013-2-12 16:55

好东西，必须顶

回复|@ta|踩(0)|顶(0)
24楼

guhuisec
2013-2-12 14:57

膜拜牛主。。。。

回复|@ta|踩(0)|顶(0)
23楼

XiaoMie
2013-2-8 17:36

最近phpcms v9的洞洞很多朋友之前还分享给我了另一处注入。

回复|@ta|踩(0)|顶(0)
22楼

H4xssck3r
2013-2-7 17:13

EXP已构造，多谢分享

回复|@ta|踩(0)|顶(0)
21楼

w1ngs
2013-2-7 16:55

妹子，感谢分享

回复|@ta|踩(0)|顶(0)
20楼

ylxb90
2013-2-7 16:17

插件

回复|@ta|踩(0)|顶(0)

T00ls新年礼物之三：Phpcms V9 短消息回复SQL注入

关于作者

评论39次

楼主，最终是如何注入没有说啊？能否放公鸡了。 用反引号闭合字段后来弄？

膜拜 洞主 ，。呵呵

感觉现在很少人用phpcms啦，蛋疼

好像现在大部分都不允许发短消息了- -

膜拜楼主 谢谢你的共享

今天遇到一个v9的，没办法入手

是不是你通杀啊

最爱冻住

最喜欢看web漏洞的分析咯

膜拜洞主

PHPCMS 好造孽哦。。

过年这福利真多。。。

奥，不是鸡肋啊··

感谢共享！！！！！！！

好东西，必须顶

膜拜牛主。。。。

最近phpcms v9的洞洞很多 朋友之前还分享给我了另一处注入。

EXP已构造，多谢分享

妹子，感谢分享

插件

热门文章

安全资讯黑客入侵自行车：无线换档系统存在漏洞

安全资讯致数千人伤亡的寻呼机为何能爆炸？专家：或黑客入侵致电池过载，或内部被对手安装了爆炸物

安全资讯Godzilla 无文件后门利用 Atlassian Confluence漏洞 CVE-2023-22527

渗透测试车联网攻击链路图

最新回复

精华推荐

渗透测试深析基于元素剥离的多种html注入实现Attack以及浅析防范措施

渗透测试SSRF漏洞(原理&绕过姿势)

渗透测试一篇了解PHP代码审计基础

Web安全DedeCMS最新通杀注入之二(buy_action.php)漏洞分析(更新附exp）

渗透测试Webshell免杀要点

楼主，最终是如何注入没有说啊？能否放公鸡了。用反引号闭合字段后来弄？

膜拜洞主，。呵呵

膜拜楼主谢谢你的共享

最近phpcms v9的洞洞很多朋友之前还分享给我了另一处注入。