齐博cms 7.0 漏洞分析
**
0x01 原理分析
**
还是很早之前爆出来的漏洞,现在拿出来学习一下,参考阿里巴巴:
https://security.alibaba.com/...
漏洞发生在/inc/common.inc.php页面中。首先看这个函数:
首先使用ini_get来获取php.ini中变量'register_globals'的值,而register_globals代表的意思是提交的请求是否注册为全局变量,取值为OFF和ON,一般默认配置为OFF,那么将会执行extract()函数。
extract()函数是对于提交的$_FILE变量,如果已经赋值那么将跳过,不进行赋值操作,如果没有赋值,那么进行初始化操作。
并且与此同时,齐博cms并未对$_FILE进行过滤操作。
因此,我们只需要找到一个未进行初始化的变量,已$_FILE的形式提交,那么他会自动的给你一个赋值,并且没有进行过滤,如果参与到sql注入语句中,那么就可能形成注入。
0x02 漏洞利用
这里还是以/member/comment.php文件中的变量$cidDB为例。
这里的cidDB变量没有进行初始化操作,并且参与了sql语句,因此只需要通过$_FILE的形式提交该cidDB变量,从而对其进行覆盖,完成注入,过程如下:
首先构造上传表单页面,源码如下:
<form action="http://127.0.0.1/qibo/member/... method="POST" enctype="multipart/form-data">
<input type="file" name="cidDB" value="test" style="width:350px;"/><br/>
<input type="submit" value="确定"/> </form>
提交后抓包,并修改filename为payload,成功注入。