当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-081795

漏洞标题:74cms(20141027)多处二次注入

相关厂商:74c,s.com

漏洞作者: JJ Fly

提交时间:2014-11-05 14:05

修复时间:2015-02-03 14:06

公开时间:2015-02-03 14:06

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-11-05: 细节已通知厂商并且等待厂商处理中
2014-11-08: 厂商已经确认,细节仅向厂商公开
2014-11-11: 细节向第三方安全合作伙伴开放
2015-01-02: 细节向核心白帽子及相关领域专家公开
2015-01-12: 细节向普通白帽子公开
2015-01-22: 细节向实习白帽子公开
2015-02-03: 细节向公众公开

简要描述:

看完了xfkxfk大神的
http://wooyun.org/bugs/wooyun-2010-070827
http://wooyun.org/bugs/wooyun-2014-070858
对74cms尝试了下,果然有收货。

详细说明:

1.

user/company/company_ajax.php
elseif($act=="promotion_add_save"){
************************
report_deal($uid,2,$points);
$user_points=get_user_points($uid);
write_memberslog($uid,1,9001,$_SESSION['username'],"{$pro_cat['cat_name']}:<strong>{$jobs['jobs_name']}</strong>,推广 {$days} 天,(-{$points}),(剩余:{$user_points})",1,1018,"{$pro_cat['cat_name']}","-{$points}","{$user_points}");
}elseif($_CFG['operation_mode']=='2'){
$user_pname=trim($_POST['pro_name']);
action_user_setmeal($uid,$user_pname); //更新套餐中相应推广方式的条数
$setmeal=get_user_setmeal($uid);//获取会员套餐
write_memberslog($uid,1,9002,$_SESSION['username'],"{$pro_cat['cat_name']}:<strong>{$jobs['jobs_name']}</strong>,推广 {$days} 天,套餐内剩余{$pro_cat['cat_name']}条数:{$setmeal[$user_pname]}条。",2,1018,"{$pro_cat['cat_name']}","-{$days}","{$setmeal[$user_pname]}");//9002是套餐操作
}
write_memberslog($uid,1,3004,$_SESSION['username'],"{$pro_cat['cat_name']}:<strong>{$jobs['jobs_name']}</strong>,推广 {$days} 天。");
*******************
}


会调用write_memberslog这个函数。
然后重点看这个变量$jobs['jobs_name']
从上面我们可以得知
$jobs=get_jobs_one($jobid,$uid);
然后再继续看下去

function get_jobs_one($id,$uid='')
{
global $db,$timestamp;
$id=intval($id);
if (!empty($uid)) $wheresql=" AND uid=".intval($uid);
$tb1=$db->getone("select * from ".table('jobs')." where id='{$id}' {$wheresql} LIMIT 1");
$tb2=$db->getone("select * from ".table('jobs_tmp')." where id='{$id}' {$wheresql} LIMIT 1");
$val=!empty($tb1)?$tb1:$tb2;
if (empty($val)) return false;
$val['contact']=$db->getone("select * from ".table('jobs_contact')." where pid='{$val['id']}' LIMIT 1 ");
$val['deadline_days']=($val['deadline']-$timestamp)>0?"距到期时间还有<strong style=\"color:#FF0000\">".sub_day($val['deadline'],$timestamp)."</strong>":"<span style=\"color:#FF6600\">目前已过期</span>";
return $val;
}


直接进行调用,没有处理。
So
我们可以这样,
新建一个职位,名称为

1','1','1',user(),'1','9')#


图片1.png


然后去为其消费,让其创建记录。置顶,变色,紧急,推荐都行。

图片2.png


然后在积分消费明细中可以看到

图片3.png


经过上面,我们可以得知,经过函数get_jobs_one
返回的值没有就行处理。
然后可以搜索下喊函数,看看在什么地方调用了,而且进入了数据库。

图片4.png


2.
下面继续看了一下申请职位名称这。

图片5.png


这一处,在 个人简历名称 职位名称 企业名称 三处都没有进行过滤,
随后我们可以去查看一下源码。
我们可以找出 上面这三处 数据 是怎么获取的,然后尝试是否可以扩大战果。
$jobsarr=app_get_jobs($jobsid);
foreach($jobsarr as $jobs){
$addarr['company_name']=$jobs['companyname'];
$addarr['jobs_name']=$jobs['jobs_name'];
}
简历信息在这
$resume_basic=get_resume_basic($_SESSION['uid'],$resumeid);
3.
在邀请面试的地方
同样发现了二次注入。

图片6.png


这个构造一下吧 。
把企业名称修改成这样

m',1,3,'zz',1,user(),1,1)#


随后我们可以见下图

图片8.png


4.
经过测试,又发现,收藏职位处也可二次注入,

图片10.png


m'为企业名称
5.
发现一个有问题的函数

function get_company($uid)
{
global $db;
$sql = "select * from ".table('company_profile')." where uid=".intval($uid)." LIMIT 1 ";
$result = $db->getone($sql);
return $result;
}


获取企业资料不检测直接返回,随后找了这个函数进行了调用,然后执行了数据操作。

function add_down_resume($resume_id,$company_uid,$resume_uid,$resume_name)
{
global $db,$timestamp;
$resume_id=intval($resume_id);
$company_uid=intval($company_uid);
$resume_uid=intval($resume_uid);
$resume_name=trim($resume_name);

$company=get_company($company_uid);
$sql = "INSERT INTO ".table('company_down_resume')." (resume_id,resume_uid,resume_name,company_uid,company_name,down_addtime) VALUES ('{$resume_id}','{$resume_uid}','{$resume_name}','{$company_uid}','{$company['companyname']}','{$timestamp}')";
return $db->query($sql);
}


然后再挖掘这个函数的
下载记录。

图片11.png


漏洞证明:

图片3.png


图片8.png


修复方案:

根据函数进行处理吧。
希望你们也自行检查一下,不要指哪补哪

版权声明:转载请注明来源 JJ Fly@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-11-08 11:50

厂商回复:

感谢反馈!

最新状态:

暂无