当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-051706

漏洞标题:程氏舞曲 Sql一枚 依旧无视Gpc。

相关厂商:chshcms.com

漏洞作者: ′雨。

提交时间:2014-02-25 11:16

修复时间:2014-05-26 11:17

公开时间:2014-05-26 11:17

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-02-25: 细节已通知厂商并且等待厂商处理中
2014-02-25: 厂商已经确认,细节仅向厂商公开
2014-02-28: 细节向第三方安全合作伙伴开放
2014-04-21: 细节向核心白帽子及相关领域专家公开
2014-05-01: 细节向普通白帽子公开
2014-05-11: 细节向实习白帽子公开
2014-05-26: 细节向公众公开

简要描述:

程氏CMS_V3.5_ 正式版 更新时间:2014-02-18 下载次数:13145
表示下载的这个 是最新的了把?
无需登录 无视Gpc。

详细说明:

在app/controllers/zj.php中

public function so()
	{
            $data='';$data_content='';
            $fid = $this->security->xss_clean($this->uri->segment(3));   //方式
            $key = $this->security->xss_clean($this->uri->segment(4));   //关键字
            $page  = intval($this->security->xss_clean($this->uri->segment(5)));   //页数
            if($page==0) $page=1;
            $key=$this->CsdjSkins->rurlencode($key);
			
            if(empty($key)) $key = $this->input->post('key', TRUE);
                
	    $cache_id ="topic_so_".$fid."_".$key."_".$page;


$key = $this->security->xss_clean($this->uri->segment(4));
xss_clean 把单引号过滤掉了。
但是有rurlencode这个。
看看它

function rurlencode($string) {
               $key=rawurldecode($string);
               if($this->is_utf8($key)){
                    $key=iconv('UTF-8', 'GB2312', $key);
               }
             return $key;
         }


是解码的 那就无视过滤了。
直接come sql

$pagenum=$this->CsdjSkins->GetPageNum($Mark_Text);
		preg_match_all('/{cscms:topic(.*?pagesize=([\S]+).*?)}([\s\S]+?){\/cscms:topic}/',$Mark_Text,$page_arr);//判断是否有分页标识
		if(!empty($page_arr) && !empty($page_arr[2])){
		   if($fid=='tags'){
                        $sqlstr="select * from ".CS_SqlPrefix."topic where CS_YID=0 and CS_Tags like '%".$key."%'  order by CS_AddTime desc";
		   }else{
                        $sqlstr="select * from ".CS_SqlPrefix."topic where CS_YID=0 and CS_Name like '%".$key."%' or CS_Year like '%".$key."%'  order by CS_AddTime desc";
                   }
           
			$Arr=$this->CsdjSkins->SpanPage($sqlstr,$page_arr[2][0],$pagenum,'so','zj',$fid,urlencode($key),1,$page);//sql,每页显示条数
			$result=$this->CsdjDB->db->query($Arr[2]);
			$recount=$result->num_rows();
			if($recount==0){


这里看一下语句 然后构造一下。

漏洞证明:

2.jpg


3.jpg


官网 测试成功。

修复方案:

求20.
求包养。
求过滤。

版权声明:转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-02-25 20:20

厂商回复:

感谢您的检测
已经修复!~

最新状态:

暂无