chshcms 程氏CMS V3.0 注射（已在官方演示站测试）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-040338

漏洞标题：chshcms 程氏CMS V3.0 注射（已在官方演示站测试）

漏洞作者： lxj616

提交时间：2013-10-22 18:49

修复时间：2014-01-20 18:49

公开时间：2014-01-20 18:49

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：12

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-10-22：细节已通知厂商并且等待厂商处理中
2013-10-22：厂商已经确认，细节仅向厂商公开
2013-10-25：细节向第三方安全合作伙伴开放
2013-12-16：细节向核心白帽子及相关领域专家公开
2013-12-26：细节向普通白帽子公开
2014-01-05：细节向实习白帽子公开
2014-01-20：细节向公众公开

简要描述：

chshcms 程氏CMS V3.0 注射（已在官方演示站测试）
图片中演示站为http://www.dj221.com

详细说明：

/user/do.php

function TOPIC(){
        if(isset($_COOKIE["cs_name"])){
	   $cscms_name=$_COOKIE["cs_name"];
	}else{
	   exit(Msg_Error('你还没有登入或者登入已经超时!','login.php'));
	}
	$op=CS_Request("op");       //使用安全的CS_request addslash
	...省略无关代码若干
        }elseif($op=='zjadd'){
	    $tid=CS_Request("tid"); //使用安全的CS_request addslash
	    $id=trim($_GET["id"]);  //呵呵呵，曲项向天歌，CS_Request哭了
                                    //下面直接就进查询语句了
               if($db->query("update ".Getdbname('dance')." set CS_TID=".$tid." where cs_user='".$cscms_name."' and CS_ID in (".$id.")")){
	            exit(Msg_Error('恭喜您，加入成功了!','javascript:history.go(-1);'));
               }else
               ………省略以下无关代码………
        }
}

建议全面审查代码，严格按照安全结构开发代码
下面用官方演示站点进行证明

漏洞证明：

由于注射点在个人中心里，因此需要注册一下

http://www.dj221.com/user/space.php?ac=topic&op=zjadd&tid=3118&id=2

请注意我创建了一个专辑，因为注射点在专辑那里，id=2请自行修改为自己的值
在Havij里设置cookie（必须）

注射开始吧

修复方案：

$tid=CS_Request("tid"); //使用安全的CS_request addslash
$id=trim($_GET["id"]); //别这么写，这样不好
建议将所有有GET的地方全用CS_Request

版权声明：转载请注明来源 lxj616@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2013-10-22 21:26

厂商回复：

非常感谢提醒，已经修复！

漏洞评价：

2014-05-16 18:06 | 乌云 ( 实习白帽子 | Rank:66 漏洞数:14 | a)

学习
2014-12-04 23:40 | Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号，不装逼了，再见孩子们。by Mosua...)

我很好奇你怎么知道这个文件用在个人中心的
2014-12-13 02:56 | 叮咚叮咚 ( 路人 | Rank:0 漏洞数:2 | 热爱生活，热爱技术)

$tid=CS_Request("tid"); //使用安全的CS_request addslash$id=trim($_GET["id"]);太大意了吧、、
2014-12-30 17:18 | sky ( 实习白帽子 | Rank:94 漏洞数:33 | 有一天，我带着儿子@jeary 去@园长的园长...)

..想问下你的 tid 是怎么获得的？
2015-02-07 22:36 | 从容 ( 普通白帽子 | Rank:221 漏洞数:75 | Enjoy Hacking Just Because It's Fun :) ...)

@Mosuan chschcms的user文件夹就是对应用户中心

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-040338

漏洞标题：chshcms 程氏CMS V3.0 注射（已在官方演示站测试）

相关厂商：chshcms.com

漏洞作者： lxj616

提交时间：2013-10-22 18:49

修复时间：2014-01-20 18:49

公开时间：2014-01-20 18:49

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：12

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 lxj616@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-040338

漏洞标题：chshcms 程氏CMS V3.0 注射（已在官方演示站测试）

相关厂商：chshcms.com

漏洞作者： lxj616

提交时间：2013-10-22 18:49

修复时间：2014-01-20 18:49

公开时间：2014-01-20 18:49

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：12

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-040338"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 lxj616@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：