齐博cms最新SQL注入网站缝隙 可长途履行代码提权

2020-07-06 02:22 admin

齐博cms最新SQL注入网站缝隙 可长途履行代码提权


短视频,自媒体,达人种草一站效劳

齐博cms整站体系,是现在建站体系用的较多的一款CMS体系,开源,免费,第三方扩展化,界面可视化的操作,使用简略,便于新手使用和第二次开发,遭到许多站长们的喜欢。开发架构使用的是php言语以及mysql数据库,强壮的网站并发才能。于近日,我们SINE安全公司发现齐博cms又爆出高危的sql注入缝隙,关于该网站缝隙的概况,我们来详细的分析缝隙的发生以及怎么使用。

在对整个网站代码的缝隙检测中发现do目录下的activate.php存在可以刺进歹意参数的变量值,我们来看下这个代码:

齐博cms缝隙概况:

从代码里发现这个代码的功用是发送序列号激活的一个功用,从激活的链接地点里,可以看出do/activate.php?job=activate safe_id=$safe_id 是用来激活序列号的,我们从整个齐博的代码里找到了账号激活的一个大体的过程,首要会注册一个账号,注册账号后会需要发送邮件到用户的Email里,Email里验证的是safe_id这个值,这个safe_id这个值通过md5的解密后直接生成uaername跟用户的密码,然后再传入到get_safe()这个函数,在这个inc文件夹下的class.user.php代码里找得到这个函数。

我们发现这个get_safe()函数是用来传递用户的激活信息,并进行安全过滤与判断的,从这里我们可以刺进歹意的sql语句到网站后端里去,并直接到数据库中履行该语句,我们本地来测试一下是否可以sql注入:

从上图我们可以看出可以进行网站sql注入攻击,那么我们就能够进行查询数据库的账号密码操作,比如查询网站超级管理员的账号密码:and (updatexml(1,concat(0x7e,(substring((selectusername from qb_memberdata where groupid=3),1, 这个语句就是查询超级管理员的账号密码,通过这里我们查到网站的管理员账号密码,登录后台,我们进行长途代码提权了。

添加栏目为${assert($_POST[safe])},一句话后门的代码会直接写入到/data/guide_fid.php文件,用一句话木马连接东西连接即可。

关于齐博cms缝隙的修复,我们SINE安全建议网站的运用者,尽快晋级齐博CMS到最新版本,关于sql注入语句进行安全过滤与sql注入防护,对网站的后台默许地点进行详细的更改为其他的文件名。关于前端网站进行sql语句查询的时分进行网站安全白名单体系布置,网站后台的账号密码设置的杂乱一些,尽量的用数字+巨细写+特别字符组合。:sinesafe