Ucenter Home 2.0 SQL注入2枚（最新版）

先提交2个gpc=off的注射，该程序还有getshell看看厂商的态度再考虑发不发。

1.cp_profile.php

//隐私
 $inserts = array();
 foreach ($_POST['friend'] as $key => $value) {
     $value = intval($value);
     $inserts[] = "('base','$key','$space[uid]','$value')";
 }
 if($inserts) {
     $_SGLOBAL['db']->query("DELETE FROM ".tname('spaceinfo')." WHERE uid='$space[uid]' AND type='base'");
     $_SGLOBAL['db']->query("INSERT INTO ".tname('spaceinfo')." (type,subtype,uid,friend)
         VALUES ".implode(',', $inserts));
 }

key未过滤即带入数据库造成注射。

第二处注入：cp_privacy.php

foreach ($filter_note as $key => $value) {
   list($type, $uid) = explode('|', $key);
   $types[$key] = $type;
   $uids[$key] = $uid;
   if(is_numeric($type)) {
    $appids[$key] = $type;
   }
  }
  if($uids) {
   $query = $_SGLOBAL['db']->query("SELECT uid, username FROM ".tname('space')." WHERE uid IN (".simplode($uids).")");
   while ($value = $_SGLOBAL['db']->fetch_array($query)) {
    $users[$value['uid']] = $value['username'];
   }
  }

一样是key未做过滤。

案例1证明：

案例2证明:

key也过滤下

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2014-07-20 22:29

厂商回复：

CNVD确认并复现所述情况，由CNVD尝试联系软件生产厂商——北京康盛新创科技有限责任公司。

最新状态：

暂无

1. 2014-07-16 18:22 | 老笨蛋 ( 路人 | Rank:29 漏洞数:3 | 老笨蛋一个)

   0

   汝甚屌，家人知否？

   1# 回复此人

2. 2014-07-16 20:55 | Coxxs ( 实习白帽子 | Rank:34 漏洞数:8 | 节操数:233 | ww)

   0

   DZ现在反应快起来了..有危害的都确认了 /corps/Discuz!

   2# 回复此人

3. 2014-07-17 16:08 | Hmily ( 路人 | 还没有发布任何漏洞 | 吾爱破解论坛)

   0

   @Coxxs 反应快不给发补丁还是废物。。。

   3# 回复此人

4. 2014-07-17 23:51 | ecbug ( 普通白帽子 | Rank:115 漏洞数:6 | hello wooyun)

   0

   @Hmily 黑米粒大哥用的uchome？要不要我给你几个补丁

   4# 回复此人

5. 2014-07-18 13:54 | Hmily ( 路人 | 还没有发布任何漏洞 | 吾爱破解论坛)

   0

   @ecbug 以前7.x用过，现在x系统好像没有了吧？

   5# 回复此人

6. 2014-10-14 17:27 | nzk1912 ( 实习白帽子 | Rank:41 漏洞数:9 | 软件开发8年了，也来挖挖漏洞，为创建安全...)

   0

   敢问这两个$$，是DZ出？还是wooyun出？

   6# 回复此人