切换风格

Wizard Sky California Sunset glow Black Cloud Beige Dragon Lavender NewYear City Snow Flowers London
收藏本站XSS平台字符串转换jsfuck
Xercms前台会员注入漏洞[复制链接]
发表于 2015-8-12 13:26:20 | 显示全部楼层 |!read_mode!

Xercms是一套php加mysql的cms。

直接上code吧

XerCMS\Modules\member\index.php  lines 29

class XerCMS_MODULE_index extends member

{ 

     public function pay() {

              X::$G['pay'] = htmlchars(g('pay'));

                   include(tpl('member/pay_index.htm'));

         }

    

     public function message() {

          X::$G['d'] = g('d');

          if(X::$G['d'] == 'view') {

               $id = int1(g('id'));

               $message = rs('message')->view($id);

               include_once(tpl('member/message.htm'));

          } else if (X::$G['d'] == 'rely') {

               $id = g('id');             //传入id上面套了一个g()函数

               $rely = rs('message')->rely($id);  //29行在这里调用了rely()函数

          } else if (X::$G['d'] == 'send') {

               if(isset($_POST['message'])) {

                    $message = p('message');

                    sendmessage((int)$message['uid'],htmlchars($message['title']),htmlchars($message['content']));

                    showtips('message_send_finish','index.php?m=member&a=message');                 

               } else {

                    X::$G['send'] = (int)g('send');

                    include_once(tpl('member/message.htm'));

               }


我们看看g()函数是什么,在XerCMS\Utils\XerCMS_base.php   lines 796

function g($key,$default = '') {

       return isset($_GET[$key]) ? $_GET[$key] : $default;  //GET方式传入,没有任何过滤。

}

可以看出id是我们可以控制的。

接下来看看rely()这个函数。在XerCMS\Utils\tables\XerCMS_message.php  lines 55

 function rely($id,$uid = 0) { [/font][/color][/align]
                   $uid = empty($uid) ? X::$G['uid'] : $uid;

                   return DB::result('SELECT title,send FROM xercms_member_message WHERE uid = '.X::$G['uid'].' AND id = '.$id); 

         }


综上所述,可以看出idget方式传入,并且没有任何过滤直接带入查询。
前台注册一个会员,然后直接注入。(默认注册会员是开启的)


话说管理大人恢复我是身份吧,帖子都看不了。。。

已有 2 人评分金币 收起 理由
南瓜 + 10 感谢分享!
店小二01 + 100 第一次

总评分: 金币 + 110   查看全部评分

发表于 2015-9-23 14:02:05 | 显示全部楼层
他说叫我来回复下。
发表于 2015-9-23 16:04:41 | 显示全部楼层
诶,好痛苦啊。{:jinguanzhang204:}{:jinguanzhang204:}{:jinguanzhang204:}
发表于 2015-11-2 18:03:36 | 显示全部楼层
南瓜 发表于 2015-9-23 16:04
诶,好痛苦啊。

读一下文章。。。。。。。。。。。。。。
关闭本帖子回复于android客户端!

代码区

GMT+8, 2019-9-17 04:43

Powered by Discuz! X2

© 2001-2018 Comsenz Inc.

回顶部