采集俺的MJJ

0x01. 注入

client_ip伪造注入

看代码吧，

这里的getip函数是获取Ip的，由于，client_ip和x_forwarded_for都可以伪造。

在  include/common.fun.php 的106行

我们继续跟踪一下getip()这个函数的应用。

comment.php中的113行
$sql = “INSERT INTO “.table(‘comment’).” (com_id, post_id, user_id, type, mood, content, pub_date, ip, is_check)
VALUES (”, ‘$id’, ‘$user_id’, ‘$type’, ‘$mood’, ‘$content’, ‘$timestamp’, ‘”.getip().”‘, ‘$is_check’)”;

$db->query($sql);

这里我们伪造下ip测试下。

看看结果

可以看到了么？

已经是注入了

问题这里的是报错是。。它已经单独写出报错的语句，以致我们不能利用报错语句，直接爆出用户名和密码。但是我们可以用盲注的方式进行来搞用户名和密码了。但是这样子太麻烦了。之前，我一直在想啊，想啊，用啥方法来注呢， 注，注。。。。。。。

毕竟人的思维太宽了。因为这是个insert的语句，我们可以插入我们想要的信息，然后通过前台页面显示出来，

我们可以这样子构造语句

前面的闭合前面一个insert语句，因为insert语句的话，我们可以insert into table (a,b,c) values (‘fuck1′,’fuck2′,’fuck3’),(‘fuck4′,’fuck5′,’fuck6’)……这样可以多插几个的。这样子，我们就可以意淫了，

我们测试下

看到了么？用户名和密码已经被我们搞到手了

这是其一。

0x02 继续上个注入

在 ad.js.php中 19行

这里的$ad_id未经过任何过滤就传过来了，并且这里就直接注入了

所以这里就是赤裸裸的注入

所以这里随便选取个站，已经取到

0x03  getshell

再说一下，直接getshell把

由于存在fck

版本，2.6.3

直接getshell

0x04 后台拿shell

来到系统设置   再到 模板管理  然后点击编辑

这里编辑的是模板

然后点编辑

我们跳到上层目录去

可能问题还很多。总之一句，无论一套程序出现的安全问题多大，我还是不会去鄙视这些程序员，因为真正的一套cms要我来开发，我只能说我。。。。。。，以前我也是怀着BS的心态去看待一些爆有很多安全问题的程序。终于当有一天去做开发，我就明白了。其实俺当初怀着SB的心态去看我今天写的SB程序。所以最后一句还是那句，尊重别人的劳动果实。

编辑点评：对漏洞不再过多阐述，需要说明的还是尊重别人的分享成果，开源不代表他的价值可以给使用者随意抨击，尊重开源精神同样重要！

对脚本安全还有兴趣的朋友可以查看另外一篇挖脚本0day的文章<<[挖0day]羊驼CMS 注入及getwebshell>>

本文责任编辑:梧桐雨

原文链接：http://hi.baidu.com/sethc5/item/80ede8d1e5905a926dce3fe9

本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。