某开源框架从注入到Getshell

*本文原创作者：sjy93812，未经许可禁止转载

0x00 前言

SemCms是一套开源外贸企业网站管理系统，主要用于外贸企业，兼容IE、Firefox 等主流浏览器。SemCms使用vbscript语言编写，结合iis运行。采用国际通用utf-8编码编写。

SemCms非常适合在外贸企业，电子商务互联网应用上使用，2009年12月首次发布以来，SemCms依靠出色的用户体验和领先的技术不断扩大外贸场占有率，目前在国内已经成为最受欢迎的英文外贸网站之一。

0x01 往事

Semcms曾被多次爆出有重大漏洞，然后好像最近又爆出了最新版本漏洞。这里我用最新版本复现一下，顺便看看如何修改。

0x02 过程

这里在网上直接下载一套最新的代码，最新的代码版本为V2.3。

第一处注入位置是在后台的找回密码处，这里我的链接是如下图所示的

这里稍微有点困难的就是，这个后台的地址前四位是随机的，不过这里也不难拿到。

这里可以看到这里随机数只是取了26位，一共是四位只有26^4种可能，以现在计算机的运行速度很快就可以拿到。

然后我们就可以接触到这个注入点了。

这个功能对应的文件为web_mail.php这个文件，看一下代码这个漏洞是如何出现的

在这里可以看到判断是否为空的时候这里做了过滤，但是在下面SQL语句拼接的时候却又忘记了过滤，直接使用了接收到的内容做了拼接。

这里拿到数据包测试一下：

这里可以看到的确是可以注入的。这里我们发现可以直接构造语句，我们可以想到一个SQL直接写SHELL的神句。

构造以下的数据包:

然后直接来执行测试

执行完我们发现这里直接多处了一个文件，我们看一下这个文件的内容

这里面包含了我们在数据库中查询到的内容以及我们自定义写入的shell脚本，我们访问一下

这里可以看到，利用SQL注入可以直接得到shell。

修复方式：

     这里我们对输入的字符串进行过滤，如下图所示的修改。

这里可以看到现在并识别不了了。

第二处注入在登陆时，这里对传递的cookie值过滤有漏洞，这个文件在funtion.php里面。首先看一下代码，这里只是直接对两个获取到的值进行了html实体转义。然后就直接拼接了。

这里我们对后台主界面直接进行请求，直接请求会显示账号密码错误。

然后我们在cookie加入以上两个字段。这里为了直观一些，我把SQL语句直接打印出来。

这里如果是你输入单引号，这里的语句是如下所示的

我们可以想办法将第一个参数后面的引号转义掉，然后再把最后的全部注释掉这样前面就变成了一个参数，这样就可以直接登陆成功了。

修复方式，这里我们对参数直接过滤掉所有的特殊字符

可以看到这里已经不能再直接登陆了。

希望使用该源码的站长第一时间修复掉这个漏洞。

*本文原创作者：sjy93812，未经许可禁止转载