当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-073257

漏洞标题:frcms 多处注入 (demo成功)

相关厂商:finereason.com

漏洞作者: ′king

提交时间:2014-08-25 11:17

修复时间:2014-11-23 11:18

公开时间:2014-11-23 11:18

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-08-25: 细节已通知厂商并且等待厂商处理中
2014-08-25: 厂商已经确认,细节仅向厂商公开
2014-08-28: 细节向第三方安全合作伙伴开放
2014-10-19: 细节向核心白帽子及相关领域专家公开
2014-10-29: 细节向普通白帽子公开
2014-11-08: 细节向实习白帽子公开
2014-11-23: 细节向公众公开

简要描述:

rt

详细说明:

在plus/onlinepay/alipay_notify.php中

$sign_type       = "MD5";						       //加密方式 不需修改
$alipay = new alipay_notify($partner,$security_code,$sign_type,$_input_charset,$transport); //构造通知函数信息
$verify_result = $alipay->notify_verify(); //计算得出通知验证结果
$dingdan = $out_trade_no; //获取支付宝传递过来的订单号
$total = isset($price)?$price:$total_fee; //获取支付宝传递过来的总价格
if($verify_result) {
if($_POST['trade_status'] == 'WAIT_BUYER_PAY'||$_POST['trade_status'] == 'TRADE_FINISHED' ||$_POST['trade_status'] == 'TRADE_SUCCESS') {
echo "success";
}


当通不过验证的时候

else {
$db ->query("update {$cfg['tb_pre']}payback set p_isucceed=2 where p_oid=$dingdan");
echo "fail";


带入了这个查询 且没有单引号。
也没有intval 可以注入了。
在tenpay_notify.php 中

}
}else{
$db ->query("update {$cfg['tb_pre']}payback set p_isucceed=2 where p_oid=$sp_billno");
showmsg('支付失败!如果您的账户已扣款请联系管理员确认是否支付成功。',"javascript:;");exit;
}


也是没通过验证 无单引号 无intval
在chinabank_notify.php中

}else{
$db ->query("update {$cfg['tb_pre']}payback set p_isucceed=2,p_pmode='$v_pmode' where p_oid=$v_oid");
showmsg('支付失败!如果您的账户已扣款请联系管理员确认是否支付成功。',"javascript:;");exit;
}
?>


当没通过验证的时候 无单引号 无intval

漏洞证明:

5.jpg


这里我把语句输出了一下
盲注、。
试试demo
访问 http://v2014.rccms.com/plus/onlinepay/alipay_notify.php?out_trade_no=1
返回的是 fail
访问这个
http://v2014.rccms.com/plus/onlinepay/alipay_notify.php?out_trade_no=a
返回的是
提示信息!
MysqlError:MySQL Query Error
如果你的浏览器没反应,请点击这里...
因为这时候我们提交的是一个字符
这里没有单引号 所以就报错了
把语句换一下就能盲注了 就不继续测试了。

修复方案:

都intval把。

版权声明:转载请注明来源 ′king@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-08-25 11:55

厂商回复:

漏洞已确认存在,修复中。

最新状态:

暂无