易思ESPCMS(2014)敏感函数回溯参数的审计学习

红帽社区是一个垂直网络安全社区，融合“红帽先锋”正能量精神，每日分享最新安全资讯，提供安全问答、靶场、众测、漏洞库等功能，是网络安全爱好者学习、交流的优质社区。

主要是学习尹毅大佬那本审计学习的书的笔记

首先安装好CMS系统信息

Seay工具自动审计
选取一段可能存在漏洞的代码，进入该文件目录下，发现这段代码

 

其中

 

可以很清晰的看到变量传递的一个过程，定位一下accept函数

Public文件夹应该是公共函数，进去后可以看到

代码如下

 

获取GET、POST、COOKIE参数值后，会将k变量进行daddslashes函数过滤， daddslashes会把单引号（’）、双引号（"）、反斜线（\）与 NUL（NULL 字符）进行转义。而在function oncitylist()中数据库查询的语句是这样的，并没有对$parentid进行引号闭合，所以可以构造数字型注入，payload不会被转义

 

那怎么才能找到web页面parentid接口处的url值呢，如下图所示oncitylist函数在importan
类中，对该import类进行全局搜索

定位到important函数处

 

主要还是这两句

 

archive 可控，调用citylist文件里的citilist方法，citilist方法中调用parentid参数。所以构造的payload为

 

然后按照常规注入就行