教你辨别kali扫描web漏洞的方法变量覆盖与方法覆盖的区别( 二 )

文章插图
这儿有一个标准， if($GLOBALS['cfg_runmode']==2||$GLOBALS['cfg_paramset']==0) ，必须$cfg_runmode的值不以2而且$cfg_paramset的值不以0 。这儿非常好绕开，在0x02中说过，把想遮盖的自变量放进在Cookie里边就可以绕开。
接下去考虑到把哪些自变量的值赋给$id 。在最后一步想想许多方式，把引入编码放进主要参数里边都是被转义解决。随后考虑到把引入编码放进$_SERVER自变量传进来，那样能够绕开360webscan和内置的过虑。
那样又出現了一个难题。$_SERVER是数字能量数组， $id=$$GLOBALS['cfg_paramid']没法依据key取数字能量数组中的值，包含$_GET ， $_POST ， $GLOBALS等。而且在GET ， POST里加引入编码会开启360webscan 。

文章插图
在这里一步卡住好长时间，最终想起一个方式。
0x05 返回最初， /include/common.php ， 114-117行：
foreach(Array('_GET','_POST','_COOKIE') as $_request){ foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);}
这儿在循环系统进行后沒有把$_k这一自变量消毁，能够使用这一自变量。在Cookie中再加cfg_paramid=_k ， $$GLOBALS['cfg_paramid']的值即是$_k的值，随后在Cookie最后一个主要参数名再加引入编码，例如：1'and(updatexm l(1,concat(1,user(),1),1))and'1=123 ， $_k的值就被取值为1'and(updatexm l(1,concat(1,user(),1),1))and'1 ， $id就被取值为1'and(updatexm l(1,concat(1,user(),1),1))and'1 。而且不容易被阻拦，也不会被转义。最终POC以下：

文章插图
0x06 该系统漏洞已通告生产商和cnnvd ， 1月31号升级最新版9.0已修补该系统漏洞。
有骚构思热烈欢迎一起探讨，巨头勿喷！
文中由白帽子汇原創，转截请标明来源于：https:/osec.org/home/detail/2222.html
白帽子汇从业网络信息安全，致力于安全性互联网大数据、公司威胁情报。
企业商品：FOFA-网络环境安全性百度搜索引擎、FOEYE-网络环境检索系统、NOSEC-安全性信息服务平台。
为您出示：网络环境测绘工程、公司财产搜集、公司威胁情报、应急处置服务项目。

以上关于本文的内容，仅作参考！温馨提示：如遇健康、疾病相关的问题，请您及时就医或请专业人士给予相关指导!

「四川龙网」www.sichuanlong.com小编还为您精选了以下内容，希望对您有所帮助：

教你辨别kali扫描web漏洞的方法 变量覆盖与方法覆盖的区别( 二 )

教你辨别kali扫描web漏洞的方法变量覆盖与方法覆盖的区别( 二 )