溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本篇文章為大家展示了如何進行代碼審計semcms,內容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細介紹希望你能有所收獲。
使用給搭建環境:phpstudy2018+phpstrom+Windows10
semcms v3.9 的下載:
http://www.sem-cms.com/TradeCmsdown/php/SEMCMS_PHP_3.9.zip
Semcms v3.9的安裝:
第一步:將解壓后的文件上傳到phpstudy2018網站根目錄
第二步:運行install目錄進行默認安裝(在地址欄輸入http://你的域名/install)
使用phpstorm打開網站文件夾有與瀏覽器打開網站。
通過分析網站首頁index.php文件,發現第一步需要加載文件web_inc.php文件,此文件是漏洞觸發文件。見圖3.1
分析web_inc.php文件,發現初始位置,加載了兩個文件,一個是連接數據庫的,沒啥看的,另一個是contorl.php文件,進行sql語句的過濾,見圖3.2.
進入contorl.php文件分析。發現僅對GET請求做過濾,并且采用黑名單過濾,可以繞過。見圖3.3
再分析web_inc.php文件,我們直接分析漏洞點。可以發現先判斷是否存在POST請求中是否存在languageID,有就進行sql黑名單過濾,然后$Language=$languageID賦值,黑名單我們可以繞過,然后判斷language是否為空,不為空就進入if語句,也就是漏洞點,將$language變量賦值給sql語句。并且未做單引號保護。見圖3.4
漏洞復現
再瀏覽器中,訪問網站首頁,并開啟post請求。在post框中加入languageID=1 ,訪問,發現顯示正常。見圖4.1
將languageID的值改為:
1 and ascii(substr(database(),1,1))^109,發現網頁發生了變化。這樣就判斷出了數據庫名的第一字母就是m,asii碼=109.見圖4.2
這樣攻擊者可以通過不斷的測試數據庫每個字母的asii碼值,最終確定數據庫名。
為了方便測試,自己寫了個簡單的python腳本(sqlmap當時用的少),爆出數據庫名。因為猜測的范圍比較大,耗時可能有點長,但是,畢竟比手工快。見圖4.3
上述內容就是如何進行代碼審計semcms,你們學到知識或技能了嗎?如果還想學到更多技能或者豐富自己的知識儲備,歡迎關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
