易想团购（easethink）sql注入漏洞 | wooyun-2013-023354

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2013-023354

漏洞标题：

易想团购（easethink）sql注入漏洞

漏洞详情

披露状态：

2013-05-09：积极联系厂商并且等待厂商认领中，细节不对外公开
2013-08-07：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

意想团购存在sql注入漏洞

详细说明：

./subscribe.php这个页面存在问题
其中除了$_REQUEST['act']=='mail'选项未添加页面发送信息外，其余选项都拼接了用户发送信息。
属于post表单信息。

漏洞证明：

elseif($_REQUEST['act']=='unsubscribe')
{
	$email_code = trim($_REQUEST['code']);  //只去掉了两端预定义字符
	$email = base64_decode($email_code);   //简单的base64_decode编码 之后就带入了语句
	if($GLOBALS['db']->getOne("select count(*) from ".DB_PREFIX."mail_list where mail_address='".$email."'")==0)
	{
		showErr($GLOBALS['lang']['MAIL_NOT_EXIST'],0,APP_ROOT);
	}
	else
	{
		send_unsubscribe_mail($email);
		showSuccess($GLOBALS['lang']['MAIL_UNSUBSCRIBE_VERIFY'],0,APP_ROOT);
	}
	
}
elseif($_REQUEST['act']=='dounsubscribe')
{
	$email_code = trim($_REQUEST['code']); //和以上一样的错误
	$email_code =  base64_decode($email_code);
	$arr = explode("|",$email_code);
	$GLOBALS['db']->query("delete from ".DB_PREFIX."mail_list where code = '".$arr[0]."' and mail_address = '".$arr[1]."'");
	$rs = $GLOBALS['db']->affected_rows();
	if($rs)
	{
		showSuccess($GLOBALS['lang']['MAIL_UNSUBSCRIBE_SUCCESS'],0,APP_ROOT);
	}
	else
	{
		showErr($GLOBALS['lang']['MAIL_UNSUBSCRIBE_FAILED'],0,APP_ROOT);
	}
}

可以看到用户输入很简单的带入了sql语句中，不过最终结果并未直接显示在页面上。还是靠页面返回信息来判断语句执行是否成功

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 lxsec@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 lxsec@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞