yyladmin(SQL注入+任意文件上传)复现+审计

2024-09-25 54 0

侵权声明

本文章中的所有内容(包括但不限于文字、图像和其他媒体)仅供教育和参考目的。如果在本文章中使用了任何受版权保护的材料,我们满怀敬意地承认该内容的版权归原作者所有。

如果您是版权持有人,并且认为您的作品被侵犯,请通过以下方式与我们联系: [[email protected]]。我们将在确认后的合理时间内采取适当措施,包括删除相关内容。

感谢您的理解与支持


系统介绍

yylAdmin是一个基于ThinkPHP8和Vue3极简后台管理系统,只有登录退出、权限管理、系统管理、接口文档与调试等基础功能;前后台基础框架;你可以在此基础上根据你的业务需求进行开发扩展。前后分离,简单轻量,免费开源,开箱即用。

系统情况

版本

2024.9.20之前

项目地址

https://gitee.com/skyselang/yylAdmin

SQL注入

漏洞描述

在该版本下的该接口/admin/file.File/list存在SQL注入漏洞,该漏洞源于应用缺少对外部输入SQL语句的验证,攻击者可利用该漏洞执行非法SQL命令获取数据库敏感数据。

受影响参数

is_disable

分析

1、首先找到调用的接口函数

yyladmin(SQL注入+任意文件上传)复现+审计插图

可以看到在第55行通过param获取了参数。在这之后在72行赋值给了where数组。

2、此后跟进list函数

yyladmin(SQL注入+任意文件上传)复现+审计插图1

可以看到在第94行处where数组给了where()函数后续又调用了count()函数

3、继续跟进count()函数

yyladmin(SQL注入+任意文件上传)复现+审计插图2

此函数继续调用了countWithGroup()函数并且就在下面。此时可以看到where数组在options数组中

4、继续更进buildSql()函数

yyladmin(SQL注入+任意文件上传)复现+审计插图3

继续跟进select()函数

yyladmin(SQL注入+任意文件上传)复现+审计插图4

可以看到最终在这里将数据进行了拼接形成了sql语句

5、回到count()函数,继续跟进aggregate()函数

yyladmin(SQL注入+任意文件上传)复现+审计插图5

继续跟进

yyladmin(SQL注入+任意文件上传)复现+审计插图6

可以看到形成的sql语句在query数组中

6、继续跟进value()函数

yyladmin(SQL注入+任意文件上传)复现+审计插图7

最终在1255行执行了sql语句形成了sql注入漏洞

复现

我这里以超级管理员为例,其实用户只要能访问文件管理就行了

1、首先找到前端接口

yyladmin(SQL注入+任意文件上传)复现+审计插图8

2、在burp中找到该数据包,然后发送到repeater模块

yyladmin(SQL注入+任意文件上传)复现+审计插图9

3、修改is_disable参数为1+union+select+sleep(3))+as+agc --即可复现

yyladmin(SQL注入+任意文件上传)复现+审计插图10

文件上传

这比较简单因为只需要修改限制上传类型,就可以实现任意文件上传。

简单分析一下

可能分析的不全或有的地方是错误的

1、找到调用的接口函数,发现没有继续过滤直接进行了保存操作

yyladmin(SQL注入+任意文件上传)复现+审计插图11

2、然后跟进edit函数

yyladmin(SQL注入+任意文件上传)复现+审计插图12

3、继续跟进save函数

yyladmin(SQL注入+任意文件上传)复现+审计插图13

4、此时需要判断是否已存在数据库中,可以得知数据是已经存在只需要跟新即可于是继续跟进updateData()函数

yyladmin(SQL注入+任意文件上传)复现+审计插图14

红框处就是保存的逻辑后续就是执行sql语句进行保存就不跟进了

复现

1、找到修改允许上传类型的地方并添加php类型

yyladmin(SQL注入+任意文件上传)复现+审计插图15

2、然后找到任意可以上传文件的接口,即可删除php文件。

yyladmin(SQL注入+任意文件上传)复现+审计插图16

3、然后直接利用就可以了

yyladmin(SQL注入+任意文件上传)复现+审计插图17

修复

SQL注入

其实该系统已经进行了预编译,只是该漏洞是拼接在预编译前所以造成了漏洞,所以修复还是预编译在拼接前并进行关键字的过滤。
不过看官方的还是更好,还是以官网为主

文件上传

漏洞原因是对限制文件上传类型的设置可以添加任意后缀。所以修复就是在设置处也对其中的类型进行过滤。
不过看官方的还是更好,还是以官网为主

结语

众所周知当一个系统存在一个sql注入时很可能存在另一个或多个sql注入。不过我只发现了这一个。


免责声明

本博客所提供的技术知识和信息仅旨在教育和分享网络安全最佳实践,促进网络安全意识的提升。作者严禁将这些技术和信息用于任何非法或不道德的目的。

使用本博客内容而导致的任何违法行为或后果,作者不承担任何法律责任。所有读者在使用本博客的信息时,应自行承担风险,并确保遵守当地法律法规。

我们鼓励所有读者合法地使用所提供的信息和技术,致力于维护安全和负责任的网络环境。

感谢您的理解与支持。


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

办事处网络安全监控与事件响应;国外员工终端安全性怎么保障 | FB甲方群话题讨论
拿不下总统之位,那就用热加载拿下验证码识别与爆破好了!
Sooty:一款SoC分析一体化与自动化CLI工具
shiro CVE-2016-6802 路径绕过(越权)
Apache Solr 身份验证绕过漏洞(CVE-2024-45216)详解
llama_index的CVE-2024-4181漏洞根因分析

发布评论