Phpcmsv9 注入0day分析

0x01 注入分析

http://0kee.360.cn/skywolf_demo/

根据视频我得知注入来自于phpcms/modules/message/classes/message_tag.class.php中check_new函数

根据视频可以看出

出现了注入 $where中唯一可控的变量的就是$this->_username

我们往上看得知$this->_username是从get_cookie函数中取_username得到的

跟进get_cookie函数

return $value;
可以看到Cookie的参数名经过sys_auth函数加密了 所以这个注入其实是和

http://www.wooyun.org/bugs/wooyun-2015-0105242

等AuthKey泄漏造成的注射差不多的

0x02 漏洞利用

这个漏洞鸡肋的地方就在于必须事先知道authkey 但是我相信各位都有各自得到authkey的方法:)

保存以下php文件在web服务器

爆管理员帐号密码构造(自行修改key)

访问得到authkey加密后的注入语句 复制后修改cookie中的username 效果如图
1
爆当前数据库用户

2
其实知道AuthKey的话 很多地方都可以注噢~~ 🙂 找到女朋友就放其他authkey的注入:(

@Rickgray Blog的错误注入快加上EXP!

偷偷放2个可以一键爆Authkey的payload:( 如果还想要 推荐多看phpcms用户中心

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录