74CMS 人才系统 v3.2 注射 & 全版本通杀进后台

因为某站用的这个系统 旁站也无从下手 所以就下了份源码来读
整套程序过滤的还是比较全面的 不过所有版本都是GBK编码是他的硬伤 但是基本上字符串入库的时候作者都使用了iconv来把提交过来的数据编码转换成utf8
所以利用宽字符注入就没办法了 但是过滤完善仅限3.2版本之前 最新的3.2版本plus目录多了几个文件 不知道是不是换了程序员了... 先上两个白痴注入吧~

注射1:
\plus\ajax_officebuilding.php (16行)

注射2: \plus\ajax_street.php (16行)

74CMS Exp:

读过这程序的应该都知道有注入也是白搭 因为hash解不出来 我没仔细看他的密码加密方式 反正是多次加密的 试了十几个一个都没解出来....

所以得来点杀伤力大的 不然不是白搞了吗 随后批量搜索了一些危险函数 执行 变量覆盖 写文件神马的 都没什么好的发现 继续把目标转向后台 立马就笑嘻嘻了~~

\admin\admin_login.php (42行)

再看看get_admin_one函数: \admin\include\admin_common.fun.php (237行)

get_admin_one函数和check_admin函数都是直接就带入查询了 除了POST开头被addslashes函数过滤过一次 但是在宽字符面前这些都是浮云~~
so... 直接向 admin_login.php?act=do_login 构造以下POST语句就能直接进后台了~~ 当然前提你得有后台路径:
admin_name=fuckyou%d5' or 1=1%23&admin_pwd=1

EXP测试:

测试了下2.x-3.x所有版本都能直接进后台 1.x没人用了 所以没测试 貌似这程序一直都是gbk版本 为啥这么久都没人发现呢 是没发现还是不发呢 = =

Exp 下载:74cmsexp_t00ls.rar




评论 (2)

  1. 沙发
    混乱羽翼 2012-07-11 06:01

    @airoschou 哈哈,去百度一下使用这个系统的就知道了哇…可以去试试

  2. 板凳
    airoschou 2012-07-03 05:35

    能有个在线测试地址就好了哈