phpcms后台变量覆盖导致SQL注入 | wooyun-2014-085793

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2014-085793

漏洞标题：

phpcms后台变量覆盖导致SQL注入

漏洞详情

披露状态：

2014-12-08：细节已通知厂商并且等待厂商处理中
2014-12-13：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

用到了大量extract，稍不注意就会造成问题。这次是个sql注入,需要管理员权限

详细说明：

v9
代码在ipbanned.php line74

public function search_ip() {
		$where = '';
		if($_GET['search']) extract($_GET['search']);
		if($ip){
			$where .= $where ?  " AND ip LIKE '%$ip%'" : " ip LIKE '%$ip%'";
		}
		$page = isset($_GET['page']) && intval($_GET['page']) ? intval($_GET['page']) : 1;
		$infos = $this->db->listinfo($where,$order = 'ipbannedid DESC',$page, $pages = '2');
		$pages = $this->db->pages;
  		$big_menu = array('javascript:window.top.art.dialog({id:\'add\',iframe:\'?m=admin&c=ipbanned&a=add\', title:\''.L('add_ipbanned').'\', width:\'450\', height:\'300\'}, function(){var d = window.top.art.dialog({id:\'add\'}).data.iframe;var form = d.document.getElementById(\'dosubmit\');form.click();return false;}, function(){window.top.art.dialog({id:\'add\'}).close()});void(0);', L('add_ipbanned'));
		include $this->admin_tpl('ip_search_list');
	}

这句extract($_GET['search']);，提交任意key=value对都会解析成变量。
下面

if($ip){
			$where .= $where ?  " AND ip LIKE '%$ip%'" : " ip LIKE '%$ip%'";
		}

没有ip的话就会绕过这句，只需提交search内容为where=xxx，就可以覆盖变量$where,顺利到达sql。
例如提交1=1，最终sql为：

SELECT COUNT(*) AS num FROM `phpcms`.`v9_ipbanned` WHERE 1=1 LIMIT 1

虽然会加反斜杠转义引号等符号，但是可以用char(99,58,92,119,105,110),concat()等绕过这些限制。
可用来猜解数据库名，帐户密码等。

漏洞证明：

修复方案：

版权声明：转载请注明来源 JsStack@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-12-13 18:32

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 JsStack@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 JsStack@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞