Easytalk V2.5 SQL注入一枚 | wooyun-2014-051788| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-051788

漏洞标题：Easytalk V2.5 SQL注入一枚

漏洞作者： ′雨。

提交时间：2014-02-23 13:01

修复时间：2014-05-24 13:01

公开时间：2014-05-24 13:01

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-02-23：细节已通知厂商并且等待厂商处理中
2014-02-23：厂商已经确认，细节仅向厂商公开
2014-02-26：细节向第三方安全合作伙伴开放
2014-04-19：细节向核心白帽子及相关领域专家公开
2014-04-29：细节向普通白帽子公开
2014-05-09：细节向实习白帽子公开
2014-05-24：细节向公众公开

简要描述：

看官网上更新到了2.5。。漏洞是少了不少。。
不好找了。。。找了很久都没找到什么。。
全局GET POST 转义。

详细说明：

Indexaction中

public function checkreset() {
        parent::tologin();
        $uModel=D('Users');
        $urldata=$_REQUEST['urldata'];
        parse_str(base64_decode($urldata));
        $user_id=intval($user_id);
        $user_name=str_replace(array("'",'"'," "),"",$user_name);
        $mailadres=str_replace(array("'",'"'," "),"",$mailadres);
        $code=str_replace(array("'",'"'," "),"",$checkcode);
        
        if (time()-$dateline>3600*5 && $user_id && $user_name && $mailadres && $code) {
            setcookie('setok', json_encode(array('lang'=>L('reset3'),'ico'=>2)),0,'/');//该地址已经过期，请重新“找回密码”
            header('location:'.SITE_URL.'/?m=index&a=reset');
            exit;
        } else {
		
            $user=$uModel->getUser("user_id='$user_id' AND user_name='$user_name' AND mailadres='$mailadres' AND resetcode='$code'");
            if (!$user['user_id']) {
                setcookie('setok', json_encode(array('lang'=>L('reset4'),'ico'=>2)),0,'/');//地址验证失败，请重新“找回密码”
                header('location:'.SITE_URL.'/?m=index&a=reset');
                exit;
            }
        }

parse_str 可以覆盖掉其他变量。
但是user_id被intval
mailadres username code 的单引号双引号都会被替换成空。
$user=$uModel->getUser("user_id='$user_id' AND user_name='$user_name' AND mailadres='$mailadres' AND resetcode='$code'");
看看语句也都是被加了单引号的。
但是在这里他并没有过滤转义符。
而且后面有3个可控的。所以可以来利用了。
因为user_id 被intval 所以无法利用。
从user_name开始利用首先转义user_name后面的单引号
然后user_name 前面的单引号和mailadres前面的单引号闭合。
然后再注释掉后面的就可以来注入了。
而且虽然全局 GET POST 转义但是他这里解码所以无视转义的。
首先是不能进这个的要不就不能注入了
if (time()-$dateline>3600*5 && $user_id && $user_name && $mailadres && $code) {
那就让code为false把。
而且空格还被过滤了。。
用/**/ 即可。

漏洞证明：

注入成功有图有真相。

修复方案：

过滤。。

版权声明：转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-02-23 13:28

厂商回复：

已解决

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-051788

漏洞标题：Easytalk V2.5 SQL注入一枚

相关厂商：nextsns.com

漏洞作者： ′雨。

提交时间：2014-02-23 13:01

修复时间：2014-05-24 13:01

公开时间：2014-05-24 13:01

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-051788

漏洞标题：Easytalk V2.5 SQL注入一枚

相关厂商：nextsns.com

漏洞作者： ′雨。

提交时间：2014-02-23 13:01

修复时间：2014-05-24 13:01

公开时间：2014-05-24 13:01

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-051788"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：