ESPCMS-Seay自动加手工代码审计

ESPcms代码审计

源码下载地址:http://yesky.91speed.org.cn/sw/180001_190000/rar/espcms_utf8_5.4.12.05.14.rar

1.自动审计

打开审计目录,点击自动审计,找到一条SQL注入的漏洞提示,进行验证分析

 

2.手工验证

双击进来,在选中该变量后,在下方可以看到该变量的传递过程,并且点击下方的变量传递过程也可以直接跳转到该项代码处,可以非常直观地帮助我们看清整个变量在该文件的传递过程。另外我们可以看到Sparentid变量是在如下代码段获得的:

$parentid = $this->fun->accept('parentid', 'R');

 

ESPCMS-Seay自动加手工代码审计_第1张图片

2.1定位函数

右键选中,定位到accept函数

跳转到class_function()函数

 

ESPCMS-Seay自动加手工代码审计_第2张图片

可以看到这是一个获取GET、POST、COOKIE参数值的函数

我们传入的k=parentid,var=R,表示以POST和GET方式都可以获取parentid参数

最后经过daddslashes函数对单引号进行过滤

原始语句为$sql = "select * from $db_table where parentid=$parentid";

并不需要单引号来闭合,于是可以直接注入。

 

2.2搜索分析

再回来看。

我们发现这里有注入之后,可以看到该函数在important这个类里面

ESPCMS-Seay自动加手工代码审计_第3张图片

发现在首页index.pnp里面存在实例化

 

ESPCMS-Seay自动加手工代码审计_第4张图片

 

看到一个include文件的操作,但是经过addslashes()函数单引号过滤,故无法截断使其包含任意文件。

只能包含本地的PHP文件。

 

ESPCMS-Seay自动加手工代码审计_第5张图片

2.3分析思路

但实际我们想

通过创建一个对象,随着oncitylist函数调用,传递一个parentid变量

ESPCMS-Seay自动加手工代码审计_第6张图片

在传递的$action与'on'拼接,组合成新的$action,所以我们传入的$action=citylist,这里我们令$archive也为citylist即可。

 

ESPCMS-Seay自动加手工代码审计_第7张图片

之后可以看到城市列表,存在注入。

2.4验证注入

进一步构造payload

这里需要先登陆到后台,再修改URL构造

ESPCMS-Seay自动加手工代码审计_第8张图片

不过我们的目的是传递parentid参数

因为我们访问成功之后实际上已经调用了important类里面的oncitylist方法,不过因为我们没有主动传递parentid的值,所以其默认为1而已。

 

http://127.0.0.1/espcms/adminsoft/index.php?archive=citylist&action=citylist&parentid=2

 

返回结果为:北京

接着手工注入。

http://127.0.0.1/espcms/adminsoft/index.php?archive=citylist&action=citylist&parentid=2 union select 1,2,user(),4,5

 

 

 

 

到此确定了这里存在SQL注入漏洞。

ESPCMS-Seay自动加手工代码审计_第9张图片

 

你可能感兴趣的:(ESPCMS-Seay自动加手工代码审计)