0x00漏洞簡介

metinfo是一個cms 6.1.2版本中存在一個sql盲注漏洞

0x01漏洞細節與漏洞利用

在\app\system\message\web\message.class.php的add函式。

get_one這裡有個columnid 這個地方是傳入int型別的引數 沒有經過單引號的包圍 所以對於那些不需要使用單引號的注入語句就起不到過濾作用 比如 and 1=2。

這個add函式是通過domessage函式這裡訪問的。

想要訪問domessage函式可以通過訪問url

/admin/index.php?m=web&n=message&c=message&a=domessage&action=add

進行訪問 此處的action等於add的時候就會進入add函式。

在add函式中可以看到語句是這樣的。

此處想要查詢出結果需要傳入兩個變數一個是lang 這個在預設情況下是cn 另一個是columnid 這個可以到資料表中去看，預設的有0。

然後知道了這些之後就可以構造url

http://localhost/admin/index.php?m=web&n=message&c=message&a=domessage&action=add&lang=cn&id=0

繼續看程式碼

如果沒查詢到資料那麼就返回$_M[word][Feedback5] 反饋已經被關閉。

如果查到了就會在下面執行到返回$_M['word']['membercode'] 驗證碼錯誤。

效果如圖

查詢到資料時

查不到資料時

0x01-1漏洞利用

這個漏洞是個盲注 可通過回顯的內容進行判斷是否查詢出資料

利用payload如下

Id=-1 union select 1,2,3,4,5,6,7 from xxx where xxx