Thinkox 最新版 SQL 注入（附exp）#1 | wooyun-2014-087525

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2014-087525

漏洞标题：

Thinkox 最新版 SQL 注入（附exp）#1

漏洞详情

披露状态：

2014-12-22：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-03-22：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

参数未经过过滤带入SQL语句导致注入

详细说明：

/Application/Forum/Contorller/LzlController.class.php

class LzlController extends Controller
{
    public function  lzllist($to_f_reply_id, $page = 1,$p=1)
    {
        $limit = 5;
        $list = D('ForumLzlReply')->getLZLReplyList($to_f_reply_id,'ctime asc',$page,$limit);
        $totalCount = D('forum_lzl_reply')->where('is_del=0 and to_f_reply_id=' . $to_f_reply_id)->count();
        $data['to_f_reply_id'] = $to_f_reply_id;
        $pageCount = ceil($totalCount / $limit);
        $html = getPageHtml('changePage', $pageCount, $data, $page);
        $this->assign('lzlList', $list);
        $this->assign('html', $html);
        $this->assign('p', $p);
        $this->assign('nowPage', $page);
        $this->assign('totalCount', $totalCount);
        $this->assign('limit', $limit);
        $this->assign('count', count($list));
        $this->assign('to_f_reply_id', $to_f_reply_id);
        $this->display();
    }

可见$to_f_reply_id为经过过滤，在url里直接添加payload。
但是有一点，这里需要是数字，并且要除以五，最后在页面显示为分页。所以payload稍微构造下，转为ascii码再乘以5，之后再除以5即可。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Ricter@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Ricter@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞