利用骑士cms的一次纠结的渗透测试过程(两个潜在而被忽略的漏洞分析)

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

### 简要描述: 今天下载了骑士cms的最新版本,由于好久以前一个哥们发了一个后台拿shell的漏洞,还有别人发的一个sql注入的漏洞,一个有意思的渗透测试过程就从这两个地方开始了,成功的拿下了某大型人才网站的服务器,过程算比较艰辛吧,由于附带了对其实cms的漏洞重新分析,并且加入了自己新的利用方法,所以这里提交到了通用漏洞 ### 详细说明: 第一步 我们分析一个老的sql注入问题: 文件job/plus/ajax_common.php:(lines:88-100) ``` { if (empty($_GET['query'])) { exit(); } $gbk_query=trim($_GET['query']); if (strcasecmp(QISHI_DBCHARSET,"utf8")!=0) { $gbk_query=iconv("utf-8",QISHI_DBCHARSET,$gbk_query); } $sql="SELECT * FROM ".table('hotword')." WHERE w_word like '%{$gbk_query}%' ORDER BY `w_hot` DESC LIMIT 0 , 10"; $result = $db->query($sql); ``` iconv 这个函数在做编码转换的时候,会引入特殊字符,我们搭建了测试站点,如下: http://192.168.47.131/74cms_v3.4.20140709https://images.seebug.org/upload/plus/ajax_common.php?act=hotword&query=aa 让我们请求这个的时候,里面的问题参数query可能存在sql注入,首先我们直接使用单引号 http://192.168.47.131/74cms_v3.4.20140709https://images.seebug.org/upload/plus/ajax_common.php?act=hotword&query=aa' [<img src="https://images.seebug.org/upload/201407/29143422014b1ba69af253bd148ab5bb39c749d5.png" alt="7.png"...

0%
暂无可用Exp或PoC
当前有0条受影响产品信息