PbootCMS 3.0.4 SQL注入漏洞

PbootCMS 3.0.4 SQL注入漏洞

黑客接单访客2021-10-07 0:13:0013751A+A-

漏洞描述

PbootCMS是全新内核且永久开源免费的PHP企业网站开发建设管理系统,是一套高效、简洁、 强悍的可免费商用的PHP CMS源码,但存在SQL注入漏洞,攻击者可构造恶意语句进行获取敏感数据。

漏洞影响

PbootCMS3.0.4

FOFA

app="PBOOTCMS"

源码分析

漏洞代码位置:

  1. core\basic\Model.php

当传递的参数$where是一个数组时就遍历数组,当$where是一个索引数组时则:$where_string.=$value。

接下来找到“$where”函数中要传递的代码为索引数组时的代码:

  1. apps\home\controller\ParserController.php

在“parserSearchLabel()”方法中,传入的数据被分配到变量“$receive”进行遍历,“$key”被带入“request()”进行过滤。

通过上述方法传入索引数组的值只能包含中文、字母、数字、水平线、点、逗号和空格!它由“htmlspecialchars()”和“addslashes()”编码。 最后,它被传递到“$where3”。

“getlists()”中的“$where3”是可控的,它将以“and”的形式进入语句,所以最终造成了SQL注入。

本地复现

默认数据库是sqlite。为了测试方便,我们需要用mysql数据库替换默认数据库。 mysql数据库目录:

  1. pbootcms\static\backup\sql\0cb2353f8ea80b398754308f15d1121e_20200705235534_pbootcms.sql

接下来,我们以POST的形式发送索引数组,还记得源码里数组中的值要以“and”的形式进入“where”条件:

当条件为真时:

当条件为假时:

有效载荷: 由于数据经过过滤,因此只能使用“正则表达式”进行常规匹配。 例如:“用户名=管理员”可以表示为“用户名regepx 0x5E612E2A”,其中“5E612E2A”是“^ a”的十六进制代码。

就可以获得管理员的账号密码了。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 1条评论
  • 听弧命轴2022-05-28 12:40:54
  • 漏洞描述PbootCMS是全新内核且永久开源免费的PHP企业网站开发建设管理系统,是一套高效、简洁、 强悍的可免费商用的PHP CMS源码,但存在SQL注入漏洞,攻击者可构造恶意语句进行获取敏感数据

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理