大米CMS_V5.5.3 SQL注入漏洞分析_办公生活

大米CMS_V5.5.3 SQL注入漏洞分析

创始人

2024-05-08 23:43:45

0x00 环境准备

大米CMS官网：http://www.damicms.com

网站源码版本：大米CMS_V5.5.3试用版(更新时间：2017-04-15)

程序源码下载：http://www.damicms.com/downes/dami.rar

测试网站首页：
在这里插入图片描述

0x01 代码分析

1、首先来看一下全局过滤代码/php_safe.php 第24-33行中：

//$ArrPGC=array_merge($_GET,$_POST,$_COOKIE);
foreach($_GET as $key=>$value){
StopAttack($key,$value,$getfilter);
}
foreach($_POST as $key=>$value){
StopAttack($key,$value,$postfilter);
}
foreach($_COOKIE as $key=>$value){
StopAttack($key,$value,$cookiefilter);
10. }

这段函数对GET,_GET,GET,_POST,COOKIE等全局变量调用StopAttack函数进行处理，可以发现如果是从_COOKIE等全局变量调用StopAttack函数进行处理，可以发现如果是从COOKIE等全局变量调用StopAttack函数进行处理，可以发现如果是从_REQUEST获取参数，那么将绕过全局过滤防护。

2、漏洞文件位置1：/Admin/Lib/Action/MemberAction.class.php 第93-110行中：

function cartlist(){
$model = D('TradeView');
import('ORG.Util.Page');
$where ='';
if(!empty($_REQUEST['start_time']) && !empty($_REQUEST['end_time'])){
$where .= 'member_trade.addtime>='.strtotime($_REQUEST['start_time']." 00:00:00").' and member_trade.addtime<='.strtotime($_REQUEST['end_time']." 23:59:59")." and ";
}
else if(!empty($_REQUEST['start_time']) && empty($_REQUEST['end_time'])){
$where .= 'member_trade.addtime>='.strtotime($_REQUEST['start_time']." 00:00:00").' and member_trade.addtime<='.strtotime($_REQUEST['start_time']." 23:59:59")." and ";
10.         }
11.     else if(empty($_REQUEST['start_time']) && !empty($_REQUEST['end_time'])){
12.         $where .= 'member_trade.addtime>='.strtotime($_REQUEST['end_time']." 00:00:00").' and member_trade.addtime<='.strtotime($_REQUEST['end_time']." 23:59:59")." and ";
13.         }
14.     if(!empty($_REQUEST['keyword'])){
15.         $where .= "article.title like '%".htmlspecialchars(trim($_REQUEST['keyword']))."%' and ";
16.         }
17.     $where .='1=1';
18.             $count = $model->where($where)->count();
19.             $p = new Page($count,20);

2、漏洞文件位置2：/Admin/Lib/Action/MemberAction.class.php 第126-135行中：

function userlist(){
$model = M('member');
import('ORG.Util.Page');
$where ='';
if(!empty($_REQUEST['keyword'])){
$where .= "(username like '%".htmlspecialchars(trim($_REQUEST['keyword']))."%' or realname like '%".htmlspecialchars(trim($_REQUEST['keyword']))."%' or address like '%".htmlspecialchars(trim($_REQUEST['keyword']))."%') and ";
}
$where .='1=1';
$count = $model->where($where)->count();$p = new Page($count,20);

在这两个函数中，将获取到的$_REQUEST[‘keyword’]参数拼接到SQL语句，然后带入数据库执行，导致程序在实现上存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

0x02 漏洞利用

1、登录后台，网站后台–会员系统–会员管理–关键字搜索–注入点：

SQLMAP注入测试：
在这里插入图片描述

0x03 修复建议

1、使用参数化查询避免SQL注入

词库加载错误:未能找到文件“E:\highferrum_mysql\Configuration\Dict_Stopwords.txt”。

上一篇：综合项目旅游网【2. 优化servlet】没有指定的js文件读不到文件错误

下一篇：SVM(支持向量机)的一些思考：在margin上却不属于支持向量

热门资讯

我喜欢你韩语怎么说 sikid...

北京的名胜古迹北京最著名的景... 北京从元代开始，逐渐走上帝国首都的道路，先是成为大辽朝五大首都之一的南京城，随着金灭辽，金代从海陵王...

苗族的传统节日贵州苗族节日有... 【岜沙苗族芦笙节】岜沙，苗语叫“分送”，距从江县城7.5公里，是世界上最崇拜树木并以树为神的枪手部落...

男闺蜜是什么女孩子的男闺蜜叫... 随着社会的开放，有关男女之别的传统思想也越来越弱化，身为女人，似乎没个异性朋友，没个玩得好的异性，就...

长白山自助游攻略吉林长白山游... 昨天介绍了西坡的景点详细请看链接：一个人的旅行，据说能看到长白山天池全凭运气，您的运气如何？今日介绍...

应用未安装解决办法平板应用未... ---IT小技术，每天Get一个小技能！一、前言描述苹果IPad2居然不能安装怎么办？与此IPad不...

世界上最漂亮的人世界上最漂亮... 此前在某网上，选出了全球265万颜值姣好的女性。从这些数量庞大的女性群体中，人们投票选出了心目中最美...

猫咪吃了塑料袋怎么办猫咪误食... 你知道吗？塑料袋放久了会长猫哦！要说猫咪对塑料袋的喜爱程度完完全全可以媲美纸箱家里只要一有塑料袋的响...

脚上的穴位图脚面经络图对应的... 人体穴位作用图解大全更清晰直观的标注了各个人体穴位的作用，包括头部穴位图、胸部穴位图、背部穴位图、胳...

demo什么意思 demo版本... 618快到了，各位的小金库大概也在准备开闸放水了吧。没有小金库的，也该向老婆撒娇卖萌服个软了，一切只...