74CMS 人才系统 v3.2 注射 & 全版本通杀进后台

  • 发表于
  • Vulndb

因为某站用的这个系统旁站也无从下手 所以就下了份源码来读
整套程序过滤的还是比较全面的不过所有版本都是GBK编码是他的硬伤但是基本上字符串入库的时候作者都使用了iconv来把提交过来的数据编码转换成utf8
所以利用宽字符注入就没办法了但是过滤完善仅限3.2版本之前最新的3.2版本plus目录多了几个文件不知道是不是换了程序员了... 先上两个白痴注入吧~

注射1:
\plus\ajax_officebuilding.php (16行)

注射2: \plus\ajax_street.php (16行)

74CMS Exp:

74CMS 人才系统 v3.2 注射 & 全版本通杀进后台

读过这程序的应该都知道有注入也是白搭 因为hash解不出来 我没仔细看他的密码加密方式 反正是多次加密的 试了十几个一个都没解出来....

所以得来点杀伤力大的不然不是白搞了吗随后批量搜索了一些危险函数 执行 变量覆盖 写文件神马的 都没什么好的发现继续把目标转向后台立马就笑嘻嘻了~~

\admin\admin_login.php (42行)

再看看get_admin_one函数: \admin\include\admin_common.fun.php (237行)

get_admin_one函数和check_admin函数都是直接就带入查询了除了POST开头被addslashes函数过滤过一次但是在宽字符面前这些都是浮云~~
so... 直接向 admin_login.php?act=do_login 构造以下POST语句就能直接进后台了~~当然前提你得有后台路径:
admin_name=fuckyou%d5' or 1=1%23&admin_pwd=1

EXP测试:

74CMS 人才系统 v3.2 注射 & 全版本通杀进后台

测试了下2.x-3.x所有版本都能直接进后台 1.x没人用了 所以没测试貌似这程序一直都是gbk版本 为啥这么久都没人发现呢是没发现还是不发呢 = =

Exp 下载:74cmsexp_t00ls.rar

  • N/A