齊博cms最新SQL注入網(wǎng)站漏洞 可遠(yuǎn)程執(zhí)行代碼提權(quán)

時(shí)間：2022-08-01 13:27:01 | 來源：建站知識(shí)

時(shí)間：2022-08-01 13:27:01 來源：建站知識(shí)

齊博cms整站系統(tǒng)，是目前建站系統(tǒng)用的較多的一款CMS系統(tǒng)，開源，免費(fèi)，第三方擴(kuò)展化，界面可視化的操作，使用簡單，便于新手使用和第二次開發(fā)，受到許多站長們的喜歡。開發(fā)架構(gòu)使用的是php語言以及mysql數(shù)據(jù)庫，強(qiáng)大的網(wǎng)站并發(fā)能力。于近日，我們SINE安全公司發(fā)現(xiàn)齊博cms又爆出高危的sql注入漏洞，關(guān)于該網(wǎng)站漏洞的詳情，我們來詳細(xì)的分析漏洞的產(chǎn)生以及如何利用。

在對(duì)整個(gè)網(wǎng)站代碼的漏洞檢測中發(fā)現(xiàn)do目錄下的activate.php存在可以插入惡意參數(shù)的變量值，我們來看下這個(gè)代碼：

齊博cms漏洞詳情：

從代碼里發(fā)現(xiàn)這個(gè)代碼的功能是發(fā)送序列號(hào)激活的一個(gè)功能，從激活的鏈接地址里，可以看出do/activate.php?job=activate&safe_id=$safe_id 是用來激活序列號(hào)的，我們從整個(gè)齊博的代碼里找到了賬號(hào)激活的一個(gè)大體的過程，首先會(huì)注冊一個(gè)賬號(hào)，注冊賬號(hào)后會(huì)需要發(fā)送郵件到用戶的郵箱里，郵箱里驗(yàn)證的是safe_id這個(gè)值，這個(gè)safe_id這個(gè)值經(jīng)過md5的解密后直接生成uaername跟用戶的密碼，然后再傳入到get_safe()這個(gè)函數(shù)，在這個(gè)inc文件夾下的class.user.php代碼里找得到這個(gè)函數(shù)。

我們發(fā)現(xiàn)這個(gè)get_safe()函數(shù)是用來傳遞用戶的激活信息，并進(jìn)行安全過濾與判斷的，從這里我們可以插入惡意的sql語句到網(wǎng)站后端里去，并直接到數(shù)據(jù)庫中執(zhí)行該語句，我們本地來測試一下是否可以sql注入：

從上圖我們可以看出可以進(jìn)行網(wǎng)站sql注入攻擊，那么我們就可以進(jìn)行查詢數(shù)據(jù)庫的賬號(hào)密碼操作，比如查詢網(wǎng)站超級(jí)管理員的賬號(hào)密碼：and (updatexml(1,concat(0x7e,(substring((selectusername from qb_memberdata where groupid=3),1, 這個(gè)語句就是查詢超級(jí)管理員的賬號(hào)密碼，通過這里我們查到網(wǎng)站的管理員賬號(hào)密碼，登錄后臺(tái)，我們進(jìn)行遠(yuǎn)程代碼提權(quán)了。

增加欄目為${assert($_POST[safe])}，一句話后門的代碼會(huì)直接寫入到/data/guide_fid.php文件，用一句話木馬連接工具連接即可。

關(guān)于齊博cms漏洞的修復(fù)，我們SINE安全建議網(wǎng)站的運(yùn)用者，盡快升級(jí)齊博CMS到最新版本，對(duì)于sql注入語句進(jìn)行安全過濾與sql注入防護(hù)，對(duì)網(wǎng)站的后臺(tái)默認(rèn)地址進(jìn)行詳細(xì)的更改為其他的文件名。對(duì)于前端網(wǎng)站進(jìn)行sql語句查詢的時(shí)候進(jìn)行網(wǎng)站安全白名單系統(tǒng)部署，網(wǎng)站后臺(tái)的賬號(hào)密碼設(shè)置的復(fù)雜一些，盡可能的用數(shù)字+大小寫+特殊字符組合。本文來源：www.sinesafe.com