某开源框架从注入到Getshell

存储架构 2017-11-15

*本文原创作者:sjy93812,未经许可禁止转载

0×00 前言

SemCms是一套开源外贸企业网站管理系统,主要用于外贸企业,兼容IE、Firefox 等主流浏览器。SemCms使用vbscript语言编写,结合iis运行。采用国际通用utf-8编码编写。

SemCms非常适合在外贸企业,电子商务互联网应用上使用,2009年12月首次发布以来,SemCms依靠出色的用户体验和领先的技术不断扩大外贸场占有率,目前在国内已经成为最受欢迎的英文外贸网站之一。

0×01 往事

Semcms曾被多次爆出有重大漏洞,然后好像最近又爆出了最新版本漏洞。这里我用最新版本复现一下,顺便看看如何修改。

0×02 过程

这里在网上直接下载一套最新的代码,最新的代码版本为V2.3。

第一处注入位置是在后台的找回密码处,这里我的链接是如下图所示的

这里稍微有点困难的就是,这个后台的地址前四位是随机的,不过这里也不难拿到。

这里可以看到这里随机数只是取了26位,一共是四位只有26^4种可能,以现在计算机的运行速度很快就可以拿到。

然后我们就可以接触到这个注入点了。

这个功能对应的文件为web_mail.php这个文件,看一下代码这个漏洞是如何出现的

在这里可以看到判断是否为空的时候这里做了过滤,但是在下面SQL语句拼接的时候却又忘记了过滤,直接使用了接收到的内容做了拼接。

这里拿到数据包测试一下:

这里可以看到的确是可以注入的。这里我们发现可以直接构造语句,我们可以想到一个SQL直接写SHELL的神句。

构造以下的数据包:

然后直接来执行测试

执行完我们发现这里直接多处了一个文件,我们看一下这个文件的内容

这里面包含了我们在数据库中查询到的内容以及我们自定义写入的shell脚本,我们访问一下

这里可以看到,利用SQL注入可以直接得到shell。

修复方式:

这里我们对输入的字符串进行过滤,如下图所示的修改。

这里可以看到现在并识别不了了。

第二处注入在登陆时,这里对传递的cookie值过滤有漏洞,这个文件在funtion.php里面。首先看一下代码,这里只是直接对两个获取到的值进行了html实体转义。然后就直接拼接了。

这里我们对后台主界面直接进行请求,直接请求会显示账号密码错误。

然后我们在cookie加入以上两个字段。这里为了直观一些,我把SQL语句直接打印出来。

这里如果是你输入单引号,这里的语句是如下所示的

我们可以想办法将第一个参数后面的引号转义掉,然后再把最后的全部注释掉这样前面就变成了一个参数,这样就可以直接登陆成功了。

修复方式,这里我们对参数直接过滤掉所有的特殊字符

您可能感兴趣的

Twitter开源了看上去完爆Apache Storm的Heron!... 去年才说 Heron 短时间内不会开源,这才一年时间就开源了。嘴上说着不要,身体倒是很诚实嘛~ 去年,Twitter 对外宣布了新的分布式流计算系统 Heron,随后消息称 Twitter 已经用 Heron 替换了 Storm。此举将吞吐量最高提升了 14 倍,单词计数拓扑时间延迟...
Speaking at SQLSaturday Sacramento – 650! Anthony Nocentino's Blog Anthony Nocentino is the founder of Centino Systems. As an Enterprise Architect he works with ...
GitHub’s Advice to ‘Ask What You Can D... On Saturday, the folks in Canada celebrated Canada Day, while today we here in the States are celebrating our Independence Day. Both countries ce...
Mybatis 简介 mybatis jdbc存在的问题:1.简单的通过驱动来创建数据库会存在:数据库连接时就创建,不使用就立即释放,这样反复的创建与释放会导致资源浪费的问题。可以通过使用数据库连接池来管理数据库的连接。 2.将sql语句直接写入java代码中,耦合度极高。可以通过xml配置文件将...
在 44324 款开源软件中搜索 Purism 计划推出安全开源的 Linux Librem 5 智... Purism 公司正在设计安全开源的 Linux 产品来保护用户。 例如,该公司的笔记本电脑运行一个基于 Linux 的开源操作系统,称为“PureOS”,侧重于隐私。这些机器甚至有硬件自杀开关,用户可以迅速断开网络摄像头或 Wi-Fi 网卡。 今天,Purism 宣布正在采用相同...
0
FreeBuf

责编内容来自:FreeBuf (本文源链)
阅读提示:酷辣虫无法对本内容的真实性提供任何保证,请自行验证并承担相关的风险与后果!
本站遵循[CC BY-NC-SA 4.0]。如您有版权、意见投诉等问题,请通过eMail联系我们处理。