当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-040338

漏洞标题:chshcms 程氏CMS V3.0 注射(已在官方演示站测试)

相关厂商:chshcms.com

漏洞作者: lxj616

提交时间:2013-10-22 18:49

修复时间:2014-01-20 18:49

公开时间:2014-01-20 18:49

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:12

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-10-22: 细节已通知厂商并且等待厂商处理中
2013-10-22: 厂商已经确认,细节仅向厂商公开
2013-10-25: 细节向第三方安全合作伙伴开放
2013-12-16: 细节向核心白帽子及相关领域专家公开
2013-12-26: 细节向普通白帽子公开
2014-01-05: 细节向实习白帽子公开
2014-01-20: 细节向公众公开

简要描述:

chshcms 程氏CMS V3.0 注射(已在官方演示站测试)
图片中演示站为http://www.dj221.com

详细说明:

/user/do.php

function TOPIC(){
        if(isset($_COOKIE["cs_name"])){
	   $cscms_name=$_COOKIE["cs_name"];
	}else{
	   exit(Msg_Error('你还没有登入或者登入已经超时!','login.php'));
	}
	$op=CS_Request("op");       //使用安全的CS_request addslash
	...省略无关代码若干
        }elseif($op=='zjadd'){
	    $tid=CS_Request("tid"); //使用安全的CS_request addslash
	    $id=trim($_GET["id"]);  //呵呵呵,曲项向天歌,CS_Request哭了
                                    //下面直接就进查询语句了
               if($db->query("update ".Getdbname('dance')." set CS_TID=".$tid." where cs_user='".$cscms_name."' and CS_ID in (".$id.")")){
	            exit(Msg_Error('恭喜您,加入成功了!','javascript:history.go(-1);'));
               }else
               ………省略以下无关代码………
        }
}


建议全面审查代码,严格按照安全结构开发代码
下面用官方演示站点进行证明

漏洞证明:

由于注射点在个人中心里,因此需要注册一下

1.jpg


http://www.dj221.com/user/space.php?ac=topic&op=zjadd&tid=3118&id=2


请注意我创建了一个专辑,因为注射点在专辑那里,id=2请自行修改为自己的值
在Havij里设置cookie(必须)

2.jpg


注射开始吧

3.jpg

修复方案:

$tid=CS_Request("tid"); //使用安全的CS_request addslash
$id=trim($_GET["id"]); //别这么写,这样不好
建议将所有有GET的地方全用CS_Request

版权声明:转载请注明来源 lxj616@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2013-10-22 21:26

厂商回复:

非常感谢提醒,已经修复!

最新状态:

暂无