---------------------------
注入篇
首先看看全局文件出现的问题
core\function.inc.php中
获取IP但是没有做正则和过滤,我们搜索下有哪处调用了
可以看到搜索出243处实际也就10多处,我就不一一举例,就用一处来举例吧(为什么这么说呢,当然我是自己测试过才知道有多少处的,只是为了简洁才不一一)
找一处实名认证的来测试
文件地址是/core/approve/approve.class.php中
这里是调用了ip_address()函数,但有单引号包含,不怕,因为我们不是$GET/$POST/$COOKIE
可无视360webscan还有gpc。
打开实名认证那块测试注入
http://127.0.0.1/?user&q=code/approve/realname
提交,用burp截包。
然后添加CLIENT_IP:0'
可以看到报错了
试试构造exp,union select是不行的了,可以试试updatexml
可以爆出数据了
--------------------------------------------------
数据库篇
帝友系统是把配置文件都存数据库的,所以后台地址也可以在数据库里找的到。
配置文件内容在yyd_system这个表中
找到了,我们试试用注入爆出来看看
EXP:
可以看到爆出了 (~admin)
管理员我就不测试爆出了。
我们来看看数据库哪里存在了明文存储
表:yyd_users_adminlog
这个是管理员登陆日志来的,明文记录了密码
EXP:
可以看到爆出来
有时太长爆的不完整,可以用substr来截取。
-------------------------------------------------
好了,最后我们到拿shell篇了
打开文章管理,然后添加文章,在萎缩图那里提交图片马,burp截包时修改php后续
好了可以看到直接上传成功了
----------------------------
案例篇(送十几个测试案例)
手好累,打了那么长的分析过程
---------------------------
注入篇
首先看看全局文件出现的问题
core\function.inc.php中
获取IP但是没有做正则和过滤,我们搜索下有哪处调用了
可以看到搜索出243处实际也就10多处,我就不一一举例,就用一处来举例吧(为什么这么说呢,当然我是自己测试过才知道有多少处的,只是为了简洁才不一一)
找一处实名认证的来测试
文件地址是/core/approve/approve.class.php中
这里是调用了ip_address()函数,但有单引号包含,不怕,因为我们不是$GET/$POST/$COOKIE
可无视360webscan还有gpc。
打开实名认证那块测试注入
http://127.0.0.1/?user&q=code/approve/realname
提交,用burp截包。
然后添加CLIENT_IP:0'
可以看到报错了
试试构造exp,union select是不行的了,可以试试updatexml
可以爆出数据了
--------------------------------------------------
数据库篇
帝友系统是把配置文件都存数据库的,所以后台地址也可以在数据库里找的到。
配置文件内容在yyd_system这个表中
找到了,我们试试用注入爆出来看看
EXP:
可以看到爆出了 (~admin)
管理员我就不测试爆出了。
我们来看看数据库哪里存在了明文存储
表:yyd_users_adminlog
这个是管理员登陆日志来的,明文记录了密码
EXP:
可以看到爆出来
有时太长爆的不完整,可以用substr来截取。
-------------------------------------------------
好了,最后我们到拿shell篇了
打开文章管理,然后添加文章,在萎缩图那里提交图片马,burp截包时修改php后续
好了可以看到直接上传成功了
----------------------------
案例篇(送十几个测试案例)
手好累,打了那么长的分析过程