kppw最新版前台sql注入 | wooyun-2015-0147470| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0147470

漏洞标题：kppw最新版前台sql注入

漏洞作者：路人甲

提交时间：2015-10-20 16:34

修复时间：2016-01-23 16:40

公开时间：2016-01-23 16:40

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-10-20：细节已通知厂商并且等待厂商处理中
2015-10-25：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航）
2015-12-19：细节向核心白帽子及相关领域专家公开
2015-12-29：细节向普通白帽子公开
2016-01-08：细节向实习白帽子公开
2016-01-23：细节向公众公开

简要描述：

我这么认真，你们还是给我点对应的rank吧

详细说明：

算上关联的函数，本来还有很多的，我自己也没有找了，
我测试的是utf版本的，你们gbk版本由于这个问题已经炸了，希望好好审查
下面我拿 control\user\message_send.php文件举例，同样问题的我找的还有 message.php,yijia.php

<?php defined ( 'IN_KEKE' ) or exit('Access Denied');
$strUrl = 'index.php?do=user&view=message&op=send';
if (isset ( $formhash ) && kekezu::submitcheck ( $formhash )) {
	$title  = kekezu::str_filter ( kekezu::escape (strip_tags(htmlspecialchars_decode($title)   ))) ;
	$content  = kekezu::str_filter ( kekezu::escape (strip_tags(htmlspecialchars_decode($content)   ))) ;
	$objMsgM = new Keke_witkey_msg_class ();
	if (strtoupper ( CHARSET ) == 'GBK') {
		$to_username = kekezu::utftogbk($to_username );
	}
	$arrSpaceInfo = kekezu::get_user_info ( $to_username, 1 );
	if (! $arrSpaceInfo) {
		$tips['errors']['to_username'] = '用户不存在';
		kekezu::show_msg($tips,NULL,NULL,NULL,'error');
	}
	if ($arrSpaceInfo ['uid'] == $gUid) {
		$tips['errors']['to_username'] = '无法给自己发送';
		kekezu::show_msg ( $tips, NULL, NULL, NULL, 'error' );
	}
	if (strtoupper ( CHARSET ) == 'GBK') {
		$title = kekezu::utftogbk($title );
		$content = kekezu::utftogbk($content );
	}
	$objMsgM->setUid ( $gUid );
	$objMsgM->setUsername ( $username );
	$objMsgM->setTo_uid ( $arrSpaceInfo ['uid'] );
	$objMsgM->setTo_username ( $arrSpaceInfo ['username'] );
	$objMsgM->setTitle ($title );
	$objMsgM->setContent ($content);
	$objMsgM->setOn_time ( time () );
	$objMsgM->create_keke_witkey_msg ();
	unset ( $objMsgM );
	kekezu::show_msg ( '已保存', 'index.php?do=user&view=message&op=outbox', NULL, NULL, 'ok' );
}else{
	$objUid and $intObjUid = intval($objUid);
	$arrObjInfo =  kekezu::get_user_info ( $intObjUid);
}

我们跟进 utftogbk() /lib/inc/keke_base_class.php

static function utftogbk($string) { 
		$string = self::charset_encode ( "utf-8", "gbk", $string );
		return $string;
	}

继续

static function charset_encode($_input_charset, $_output_charset, $input) {
		$output = "";
		$string = $input;
		if (is_array ( $input )) {
			$key = array_keys ( $string );
			$size = sizeof ( $key );
			for($i = 0; $i < $size; $i ++) {
				$string [$key [$i]] = self::charset_encode ( $_input_charset, $_output_charset, $string [$key [$i]] );
			}
			return $string;
		} else {
			if (! isset ( $_output_charset ))
				$_output_charset = $_input_charset;
			if ($_input_charset == $_output_charset || $input == null) {
				$output = $input;
			} elseif (function_exists ( "mb_convert_encoding" )) {
				$output = mb_convert_encoding ( $input, $_output_charset, $_input_charset );
			} elseif (function_exists ( "iconv" )) {
				$output = iconv ( $_input_charset, $_output_charset, $input );
			} else
				die ( "sorry, you have no libs support for charset change." );
			return $output;
		}
	}

iconv()函数，哈哈
我们随便注册个账号登陆
进入发消息界面这里我们需要把发消息的对象填正确下面的标题，内容随便你选哪个，我这里方便闭合，选择内容
对象 admin（默认存在）标题 111111 内容 123錦'and sleep(1),123)# 这里必须用#注释，%23是无效的

成功 sleep()
本来很多的没有刷了，希望上个首页，么么哒

漏洞证明：

<?php defined ( 'IN_KEKE' ) or exit('Access Denied');
$strUrl = 'index.php?do=user&view=message&op=send';
if (isset ( $formhash ) && kekezu::submitcheck ( $formhash )) {
	$title  = kekezu::str_filter ( kekezu::escape (strip_tags(htmlspecialchars_decode($title)   ))) ;
	$content  = kekezu::str_filter ( kekezu::escape (strip_tags(htmlspecialchars_decode($content)   ))) ;
	$objMsgM = new Keke_witkey_msg_class ();
	if (strtoupper ( CHARSET ) == 'GBK') {
		$to_username = kekezu::utftogbk($to_username );
	}
	$arrSpaceInfo = kekezu::get_user_info ( $to_username, 1 );
	if (! $arrSpaceInfo) {
		$tips['errors']['to_username'] = '用户不存在';
		kekezu::show_msg($tips,NULL,NULL,NULL,'error');
	}
	if ($arrSpaceInfo ['uid'] == $gUid) {
		$tips['errors']['to_username'] = '无法给自己发送';
		kekezu::show_msg ( $tips, NULL, NULL, NULL, 'error' );
	}
	if (strtoupper ( CHARSET ) == 'GBK') {
		$title = kekezu::utftogbk($title );
		$content = kekezu::utftogbk($content );
	}
	$objMsgM->setUid ( $gUid );
	$objMsgM->setUsername ( $username );
	$objMsgM->setTo_uid ( $arrSpaceInfo ['uid'] );
	$objMsgM->setTo_username ( $arrSpaceInfo ['username'] );
	$objMsgM->setTitle ($title );
	$objMsgM->setContent ($content);
	$objMsgM->setOn_time ( time () );
	$objMsgM->create_keke_witkey_msg ();
	unset ( $objMsgM );
	kekezu::show_msg ( '已保存', 'index.php?do=user&view=message&op=outbox', NULL, NULL, 'ok' );
}else{
	$objUid and $intObjUid = intval($objUid);
	$arrObjInfo =  kekezu::get_user_info ( $intObjUid);
}

我们跟进 utftogbk() /lib/inc/keke_base_class.php

static function utftogbk($string) { 
		$string = self::charset_encode ( "utf-8", "gbk", $string );
		return $string;
	}

继续

static function charset_encode($_input_charset, $_output_charset, $input) {
		$output = "";
		$string = $input;
		if (is_array ( $input )) {
			$key = array_keys ( $string );
			$size = sizeof ( $key );
			for($i = 0; $i < $size; $i ++) {
				$string [$key [$i]] = self::charset_encode ( $_input_charset, $_output_charset, $string [$key [$i]] );
			}
			return $string;
		} else {
			if (! isset ( $_output_charset ))
				$_output_charset = $_input_charset;
			if ($_input_charset == $_output_charset || $input == null) {
				$output = $input;
			} elseif (function_exists ( "mb_convert_encoding" )) {
				$output = mb_convert_encoding ( $input, $_output_charset, $_input_charset );
			} elseif (function_exists ( "iconv" )) {
				$output = iconv ( $_input_charset, $_output_charset, $input );
			} else
				die ( "sorry, you have no libs support for charset change." );
			return $output;
		}
	}

成功 sleep()

修复方案：

你们懂的

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-01-23 16:40

厂商回复：

漏洞Rank：4 (WooYun评价)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0147470

漏洞标题：kppw最新版前台sql注入

相关厂商：keke.com

漏洞作者：路人甲

提交时间：2015-10-20 16:34

修复时间：2016-01-23 16:40

公开时间：2016-01-23 16:40

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0147470

漏洞标题：kppw最新版前台sql注入

相关厂商：keke.com

漏洞作者： 路人甲

提交时间：2015-10-20 16:34

修复时间：2016-01-23 16:40

公开时间：2016-01-23 16:40

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0147470"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云