EasyTalk后台2处鸡肋sql注入 | wooyun-2014-051329| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-051329

漏洞标题：EasyTalk后台2处鸡肋sql注入

漏洞作者：寂寞的瘦子

提交时间：2014-02-18 18:57

修复时间：2014-05-19 18:58

公开时间：2014-05-19 18:58

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-02-18：细节已通知厂商并且等待厂商处理中
2014-02-19：厂商已经确认，细节仅向厂商公开
2014-02-22：细节向第三方安全合作伙伴开放
2014-04-15：细节向核心白帽子及相关领域专家公开
2014-04-25：细节向普通白帽子公开
2014-05-05：细节向实习白帽子公开
2014-05-19：细节向公众公开

简要描述：

操蛋捏...

详细说明：

注意我测试的是2月16号下载的x2.4版本，可能不是最新的，感觉会重复...
找到https://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/Admin/Lib/Action/TopicAction.class.php第41行

$topicname=$_POST['topicname'];//这里接受post过来的参数
        if ($topicname) {
            $count=$tModel->where("topicname LIKE '%$topicname%'")->count();//统计
        } else {
            $count=$tModel->count();
        }
        $p= new Page($count,20);
        $page = $p->show("admin.php?s=/Topic/index/order/$order/p/");
        if ($topicname) {//判断是否传入topicname参数
            $content = $tModel->where("topicname LIKE '%$topicname%'")->order($condition)->limit($p->firstRow.','.$p->listRows)->select();//带入查询
        } else {
            $content = $tModel->order($condition)->limit($p->firstRow.','.$p->listRows)->select();

本地搭建然后去后台

搜索时抓包丢sqlmap

漏洞证明：

还有一处在https://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/Admin/Lib/Action/UsersAction.class.php第72行：

public function search() {
        $user_name=$_REQUEST['user_name'];//接受参数
        $group=$_REQUEST['group'];
        import("@.ORG.Page");
        C('PAGE_NUMBERS',10);
        $umodel=M('Users');
        if ($group) {
            if ($user_name) {
                $where="user_name LIKE '%$user_name%' AND ";//带入sql语句
            } else {
                $where="";
            }
            if ($group=='all') {
                $where.="1";
            } else if ($group=='admin1') {
                $where.="isadmin=1";
            } else if ($group=='admin2') {
                $where.="isadmin=2";
            } else if ($group=='public') {
                $where.="isadmin=0 AND userlock=0";
            } else if ($group=='lock') {
                $where.="userlock=1";
            } else if ($group=='close') {
                $where.="userlock=2";
            } else if (is_numeric($group) && $group>0) {
                $where.="user_auth='$group'";
            }
            $count=$umodel->where($where)->count();//统计查询

修复方案：

版权声明：转载请注明来源寂寞的瘦子@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2014-02-19 21:04

厂商回复：

以修复

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-051329

漏洞标题：EasyTalk后台2处鸡肋sql注入

相关厂商：nextsns.com

漏洞作者：寂寞的瘦子

提交时间：2014-02-18 18:57

修复时间：2014-05-19 18:58

公开时间：2014-05-19 18:58

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源寂寞的瘦子@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-051329

漏洞标题：EasyTalk后台2处鸡肋sql注入

相关厂商：nextsns.com

漏洞作者： 寂寞的瘦子

提交时间：2014-02-18 18:57

修复时间：2014-05-19 18:58

公开时间：2014-05-19 18:58

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-051329"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 寂寞的瘦子@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：寂寞的瘦子

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源寂寞的瘦子@乌云