phpwind 9.0.2 任意执行SQL语句

0x01 前言

审计该CMS的缘起于先知一篇文章，加上公司大佬说应该会有漏洞，故决定测一下。

源码下载:http://down.chinaz.com/soft/33130.htm

环境：phpstudy，php5.6，Windows

0x02 审计过程

0x02_1 任意执行SQL语句

由于先知那篇文章发现的漏洞是删除数据库备份文件时没有进行严谨的过滤，导致任意文件被删除，那么我就来看看备份数据库会不会出现问题。

首先备份一个表看看传入的参数有哪些！

数据备份过程中，对数据库进行操作对主要步骤如下图：

主要逻辑是判断需要备份的表是否存在，如果存在，则将表名带入backupTable这个函数，而表名是可控的！

的152-170行代码

跟进backupTable这个函数发现表名没有进行过滤处理，直接带入sql语句执行.

的210-222行代码

POC：

效果：

尝试getshell(前提mysql数据库开启secure-file-priv)

POC：

效果：

欢迎收藏并分享朋友圈，让五邑人网络更安全

欢迎扫描关注我们，及时了解最新安全动态、学习最潮流的安全姿势！