### 简要描述:
看到maccms又更新了 果断下来看看。
本来可以Sql的地方还挺多。。 但是由于自带的360防注入脚本。。我没办法绕过。
还是找到了一处, (如果没这防注入的话可以直接利用这注入登录后台)。。
可是。。 老老实实盲注把。
### 详细说明:
maccms 基本上都是调用be函数来代替$_POST之类的。
都做了addslashes。
在admin/admin_conn.php中
```
function chkLogin()
{
global $db;
$m_id = getCookie('adminid');
$m_name = getCookie('adminname');
$m_check = getCookie('admincheck');
if (!isN($m_name) && !isN($m_id)){
$row = $db->getRow('SELECT * FROM {pre}manager WHERE m_name=\'' . $m_name .'\' AND m_id= \''.$m_id .'\' AND m_status=1');
if($row){
$loginValidate = md5($row['m_random'] . $row['m_name'] . $row['m_id']);
if ($m_check != $loginValidate){
sCookie ('admincheck','');
redirect('?m=admin-login','top.');
}
}
```
这里 检测是否登录。
```
function getCookie($key)
{
if(!isset($_COOKIE[$key])){
return '';
}
else{
return $_COOKIE[$key];
}
}
```
这里并没有做addslashes。
if ($m_check = $loginValidate) 这样的话就能直接进后台了把。
但是我测试的时候发现 如果$m_check = $loginValidate 就会被360拦。。
如果不等于的话就能带入查询。所以 盲注把。
### 漏洞证明:
[<img src="https://images.seebug.org/upload/201405/251121434d9e7b58b18e7e92b721a9fc85150fae.jpg" alt="ma1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/251121434d9e7b58b18e7e92b721a9fc85150fae.jpg)
[<img src="https://images.seebug.org/upload/201405/25112204b31dc6fc69e74c588729e52fd2b59815.jpg" alt="ma2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/25112204b31dc6fc69e74c588729e52fd2b59815.jpg)
成功带入 可以盲注
京公网安备 11010502034610号
暂无评论