type
status
date
slug
summary
tags
category
icon
password
熊海cms1.0:https://down.chinaz.com/soft/36930.htm
php5.3.29nts
需要新建数据库
文件包含漏洞
index.php
查看以下代码,接收参数r,过滤特殊字符,几乎没有其他过滤
不过只能使用00截断或者包含php文件
5.3.29nts 00截断未成功,只能读取php文件
文件包含常见的思考方式:
00截断 加一大堆. 加一些问号
cookie欺骗,越权登录
admin/index.php
默认r=index,进入admin/files/index.php
admin/files/index.php
开始直接导入验证登录的php文件checklogin.php
inc/checklogin.php
只要cookie['user']不为空,就不会跳回登录界面,就直接登录
验证:
首先将chrome的cookie权限打开,在chrome中访问地址chrome://flags
然后将Partitioned cookies改为enabled,然后重启浏览器
打开cookie。随意添加一个,然后刷新http://xhcms.com/admin页面即可进入后台
SQL注入
admin登录界面
文件路径:admin/files/login.php
代码开头导入数据库连接文件conn.php,通过post获取user和password
查询sql语句的时候采取的是拼接方法,未作过滤。
源码:
验证:
注意一个点:
爆破密码的时候,报错注入只能加了!作为分隔符只能显示31位,而md5值的密码是32位
其他后台文件
功能点1:后台———栏目管理———栏目列表———随意编辑一个即可
源码:没有引入什么检验文件,仅仅拼接单引号,直接报错注入了
admin/files/editcolumn
payload:
?r=editcolumn&type=1&id=1'%20or%20updatexml(1,concat(0x7e,database()),1)%23功能点2:后台———友情链接———链接列表———随意编辑一个即可
源码:一样的逻辑
admin/files/editlink.php
payload:
?r=editlink&id=1'%20or%20updatexml(1,concat(0x7e,database()),1)%23功能点3和4:
源码:分别在内容管理的文章列表和下载列表的编辑处
admin/files/editsoft.php与admin/files/editwz.php
XSS漏洞
files/contact.php
?r=contact&page=<script>alert(1)</script>
直接拼接就好啦
files/content.php
addslashes只对单双引号,\,null转义,对js语句没影响。直接双引号尖括号闭合了
payload:
?r=content&cid="><script>alert(1)</script>存储型xss没测啊,环境乱的一批,正常评论都无法插入进入