手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

metinfo 6.2.0最新版本前台注入分析

来源£º本站整理 作者£º佚名 时间£º2019-04-02 TAG£º 我要投稿

看到某个表哥发的metinfo 6.1.3最新注入£¨https://xz.aliyun.com/t/4508),以前我发过metinfo利用注入getshell的文章,这里正好可以结合。(https://nosec.org/home/detail/2324.html)£¬在检查官方发布的最新版6.2.0版本的时候£¬发现该漏洞并未修复¡£
 
利用条件
前台£¬£¨https://xz.aliyun.com/t/4508 £©作者在这里说需要注册会员£¬其实有一处不需要¡£
 
漏洞详情
这里关键点在auth类的encode()和decode()方法¡£看下代码£º

这里两个方法全都调用了authcode()方法£¬跟进authcode看一下£º

这里decode和encode算法可逆£¬但我们需要知道$key的值£¬查看构造函数£º

这里$key的值是来源于met_webkeys这个配置£¬查看met_webkeys来源发现在安装的时候把这个key写入到./config/config_safe.php文件中¡£

查看/config/config_safe.php文件£¬这里写入方式类似以下£¬但p牛在某篇文章中说过£¬这种是无法解析的£¬php后面必须要有一个空白字符£¬右键查看源代码即可得到met_webkeys£¬但有的会报错£¬根据这个表哥所说和php线程安全有关£¬本地试了下好像是这样¡£



这里有两个利用点£¬简单说下其中一个¡£在register类的doemailvild()方法中£¬这里把用户提交的p参数进行了解密£¬并且传入到了get_user_valid()方法中¡£

查看get_user_valid()方法£¬这里又把解密后的值传入到了get_user_by_username()方法¡£

查看get_user_by_username()方法£¬又传入了get_user_by_nameid()方法¡£

查看get_user_by_nameid()方法£¬直接拼接¡£

这里基本就清楚了£¬将auth类的authcode()方法copy本地¡£

访问本地文件得到?#29992;?#21518;的字符串¡£

将?#29992;?#21518;的字符串放到cookie£¬get或者post中£¬构造请求提交£¬延时注入成功¡£

 
payload
这里有两个£¬一个是不需要登陆就可注入£¬另一个是coolcat表哥所说的需要以会员登陆¡£以下请自行替换p参数¡£
1¡¢不需要登陆
GET /admin/index.php?n=user&m=web&c=register&a=doemailvild HTTP/1.1
Cookie: p=00c7%2FDBwD23b41olxVCthTvDDTRBhldmrrdyA8S3t%2F3yAl4QZ0P%2FSfOS5zlB
2¡¢ 需要登陆
GET /admin/index.php?n=user&m=web&c=profile&a=dosafety_emailadd HTTP/1.1
Cookie: p=497cD9UpkDtsvFzU9IKNlPvSyg1z%2bf09cmp8hqUeyJW9ekvPfJqx8cLKFSHr;
 

¡¾声明¡¿:黑吧安全网(http://www.rliwo.live)登载此?#26576;?#20110;传递更多信息之目的£¬并不代表本站赞同其观点?#25237;?#20854;真实性负责£¬仅适于网络安全技术爱好者学习研究使用£¬学习中请遵循国家相关法律法规¡£如有问题请联系我们£¬联系邮箱[email protected]£¬我们会在最短的时间内进行处理¡£
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载
        ¹ºÂò²ÊƱȨÍþÍøÖ·
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中