文章插圖
這兒有一個標(biāo)準(zhǔn) ， if($GLOBALS['cfg_runmode']==2||$GLOBALS['cfg_paramset']==0) ， 必須$cfg_runmode的值不以2而且$cfg_paramset的值不以0 。這兒非常好繞開 ， 在0x02中說過 ， 把想遮蓋的自變量放進(jìn)在Cookie里邊就可以繞開 。
接下去考慮到把哪些自變量的值賦給$id 。在最后一步想想許多方式 ， 把引入編碼放進(jìn)主要參數(shù)里邊都是被轉(zhuǎn)義解決 。隨后考慮到把引入編碼放進(jìn)$_SERVER自變量傳進(jìn)來 ， 那樣能夠 繞開360webscan和內(nèi)置的過慮 。
那樣又出現(xiàn)了一個難題 。$_SERVER是數(shù)字能量數(shù)組 ， $id=$$GLOBALS['cfg_paramid']沒法依據(jù)key取數(shù)字能量數(shù)組中的值 ， 包含$_GET ， $_POST ， $GLOBALS等 。而且在GET ， POST里加引入編碼會開啟360webscan 。


文章插圖
在這里一步卡住好長時間 ， 最終想起一個方式 。
0x05 返回最初 ， /include/common.php ， 114-117行：
foreach(Array('_GET','_POST','_COOKIE') as $_request){ foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);}
這兒在循環(huán)系統(tǒng)進(jìn)行后沒有把$_k這一自變量消毀 ， 能夠 使用這一自變量 。在Cookie中再加cfg_paramid=_k ， $$GLOBALS['cfg_paramid']的值即是$_k的值 ， 隨后在Cookie最后一個主要參數(shù)名再加引入編碼 ， 例如：1'and(updatexm l(1,concat(1,user(),1),1))and'1=123 ， $_k的值就被取值為1'and(updatexm l(1,concat(1,user(),1),1))and'1 ， $id就被取值為1'and(updatexm l(1,concat(1,user(),1),1))and'1 。而且不容易被阻攔 ， 也不會被轉(zhuǎn)義 。最終POC以下：


文章插圖
0x06 該系統(tǒng)漏洞已通告生產(chǎn)商和cnnvd ， 1月31號升級最新版9.0已修補該系統(tǒng)漏洞 。
有騷構(gòu)思熱烈歡迎一起探討 ， 巨頭勿噴！
文中由白帽子匯原創(chuàng) ， 轉(zhuǎn)截請標(biāo)明來源于：https:/osec.org/home/detail/2222.html
白帽子匯從業(yè)網(wǎng)絡(luò)信息安全 ， 致力于安全性互聯(lián)網(wǎng)大數(shù)據(jù)、公司威脅情報 。
企業(yè)商品：FOFA-網(wǎng)絡(luò)環(huán)境安全性百度搜索引擎、FOEYE-網(wǎng)絡(luò)環(huán)境檢索系統(tǒng)、NOSEC-安全性信息服務(wù)平臺 。
為您出示：網(wǎng)絡(luò)環(huán)境測繪工程、公司財產(chǎn)搜集、公司威脅情報、應(yīng)急處置服務(wù)項目 。

以上關(guān)于本文的內(nèi)容，僅作參考！溫馨提示：如遇健康、疾病相關(guān)的問題，請您及時就醫(yī)或請專業(yè)人士給予相關(guān)指導(dǎo)!

「愛刨根生活網(wǎng)」www.malaban59.cn小編還為您精選了以下內(nèi)容，希望對您有所幫助：

• 絢麗多彩的翡翠顏色該如何挑選？專家教你最專業(yè)的方向
• 技巧分享！教你2016年梅雨季節(jié)如何防霉
• 才暖乍冷，教你怎么預(yù)防倒春寒
• 3步教你鑒別高品質(zhì)香水
• 美利奴皮毛一體怎么辨別真假 ?美利奴皮毛一體怎么搭配好看
• 街舞太空步走法 一步一步地教你
• 教你跟上恰恰舞曲的拍子節(jié)奏
• 教你高級街舞無限頭轉(zhuǎn)技巧
• 教你幾種恰恰舞的基本步伐
• 教你芭蕾普拉提瘦身操只在一瞬間