zzcmsV8.2之SQL注入漏洞审计

1、漏洞发现：

发现注入点存在/user/del.php文件下。

注入点存在于第141行（142为自己添加的测试代码），注入参数为tablename，此处tablename接收时未经过任何安全检查。

可见，只对$id进行了安全检查。

 

2、漏洞验证：

首先，通篇阅读del.php文件，掌握逻辑结构，发现主要针对tablename传入的参数值进行选择和判定。

这里的使用tablename进行查询的语句都存在注入点，选走后一个条件构造，将参数值设置为一个文件中没有出现过的表名，则进入最后一个else条件。

然后抓包，构造payload(没有回显，采用时间盲注)：id%5B%5D=1&tablename=zzcms_zx where id=1 and if((ascii(substr(user(),1,1)) =112),sleep(5),1)%23

如果查询到user()的第一个字母是‘r’(我的用户是root),则休眠5秒。

也可以将$sql输出，放到navicat里面测试，效果更明显。

这样就可以写poc爆破了。