快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

HDwiki二次注入案例分享

0×00概述

近期看到网上公布较多hdwiki最新版的安全漏洞,这里以我本人发现的二次注入漏洞进行分享。

0×01 白盒审计

源码信息:HDWiki-v6.0UTF8-20170209

问题文件: \hdwiki\control\co妹妹ent.php

漏洞类型:SQL注入

首进步先辈行装置以后主界面以下;

34.png

直接看存在问题的文件,路径为\hdwiki\control\co妹妹ent.php

和详细页面为词条评述之处;

32.png

起首看下写评价部分代码;

31.png

这里的$co妹妹ent参数就是我们提的评述,可以看到使用过滤函数进行安全处理,黑客网,还有在/hdwiki/model/hdwiki.class.php文件里发现使用全局本义处理;

35.png

所以这里不存在问题,我们看下有没有会再次行使这个评述$co妹妹ent参数,

照样在co妹妹ent.php这个文件里,下面看到doreport()这个函数;

34.png

这个是用来对评述进行举报的,可以看到这段代码会从数据库取出对应评述以后以及举报缘故起因一并重新执行数据库操作;详细代码部分为;

44.png

这里的$co妹妹ent[‘co妹妹ent’]为评述部分,$report为举报缘故起因合并进入send_ownmessage(),也就是二次注入了。

0×02 漏洞行使

起首看下send_ownmessage()函数为;

45.png

详细数据库操作语句为;

"INSERT INTO".DB_TABLEPRE."pms(`from`,`fromid`,`drafts`,`toid`,`to`,`subject`,`message`,`time`,`new`) VALUES  ('".$sendarray['user']['username']."','".$sendarray['user']['uid']."','".$isdraft."','".$userinfo[$i]['uid']."','".$userinfo[$i]['username']."','".$sendarray['subject']."','".$sendarray['content']."','".$this->base->time."',1)"

可以看到是INSERT语句,还有VALUES结尾有1这个常量,所以详细payload为;

Payload=4444444444’,(1=sleep(6)),1)# 

起首对任意词条进行评述,输入以上payload;

47.png以后点击下面的举报,理由任意填写;

43.png

以后提交,6秒以后将会提示举报成功,burp截图为;

49.png

显示为7秒,其中1秒是网站加载需要的时间,成功二次注入了。

*

您可能还会对下面的文章感兴趣: