渗透测试

Espcms 暴力注入

代码分析
看了下espcms的代码,发现了个比较有意思的注入

interface\membermain.php 第 33行

难道是 int 注入 ,继续跟进 public\class_connector.php 第 415 行

哈哈 直接从cookie的 ecisp_member_info中取出来,不过这里有个加密函数,
public\class_function.php 第179 行

额 很明显 这种函数式可逆的,只需要找出key即系统中的db_pscode 继续跟进 db_pscode 生成 install\fun_center.php 第 238 行

$pscode

用户id 名称 邮箱 等等信息,这些对于攻击者都是可知的,那不是可以重举99到999 的key来匹配这些信息,计算出key之后,即可以操作cookie,传入任意sql语句(具体代码见附件中)

利用演示

例如 官方演示站 ,几百次之后得到key= 95e87f86a2ffde5110e93c2823634927

先实验下 select user()
Member_info 的明文为

and 1

得到当前数据库为 espcmsdemo,查询表前缀

前缀到手
查管理员用户名 密码

select concat(username,CHAR(0x7c),password) from espdemo_admin_member limit 1

得到管理员用户名|密码,解密md5 之后 杀进后台

连接之 留txt 走人

附件下载

点我下载
Tips :如果找不到后台可以试试注入导出shell,爆绝对路径地址:爆绝对路径:interface/3gwap_search.php.

 

作者:Yaseng

原文链接:http://yaseng.org/espcms-violence-sql-injection.html

(0)

本文由来源 Yaseng,由 NNN4cy 整理编辑!

热评文章

发表评论