当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-051660

漏洞标题:Hdwiki注射一枚可无视GPC进行注入

相关厂商:互动在线(北京)科技有限公司

漏洞作者: ′雨。

提交时间:2014-02-22 13:58

修复时间:2014-05-23 13:58

公开时间:2014-05-23 13:58

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-02-22: 细节已通知厂商并且等待厂商处理中
2014-02-25: 厂商已经确认,细节仅向厂商公开
2014-02-28: 细节向第三方安全合作伙伴开放
2014-04-21: 细节向核心白帽子及相关领域专家公开
2014-05-01: 细节向普通白帽子公开
2014-05-11: 细节向实习白帽子公开
2014-05-23: 细节向公众公开

简要描述:

现在感觉hdwiki 还是挺不错的了。
全局过滤GET POST

详细说明:

今天下载的
对GET POST都做了检测 还没突破掉。。。
在control/user.php

function dologin(){
	
		$_ENV['user']->passport_server('login','1');
		
		if(!isset($this->post['submit'])){
		
			$this->view->assign('checkcode',isset($this->setting['checkcode'])?$this->setting['checkcode']:0);
			$_ENV['user']->add_referer();//here
			
			$_ENV['user']->passport_server('login','2');
			$_ENV['user']->passport_client('login');


function add_referer(){
		if($_SERVER['HTTP_REFERER']){
			$this->db->query("UPDATE ".DB_TABLEPRE."session SET referer ='".$_SERVER['HTTP_REFERER']."' WHERE sid='".base::hgetcookie('sid')."'");
		}
	}


全局过滤了GET POST 但是没有过滤SERVER
然后直接带入查询
而且MAGIC_QUOTES_gpc只会对GET POST COOKIE 传递过来的特殊字符转义。
所以无视magic_quotes_gpc。
只要没设置submit就能进去了。

漏洞证明:

1.jpg


2.jpg


3.jpg


如果管理账户的第一位是a就会延时
然后修改sustr 即可继续注入。

4.jpg


也可以直接update 用户名 可以直接出数据。

修复方案:

过滤。
低调求20.

版权声明:转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:2

确认时间:2014-02-25 18:28

厂商回复:

已经安排检查修复,非常感谢。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-02-22 14:00 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    。。 终于没走小厂商了。。。。

  2. 2014-02-22 14:02 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @′ 雨。 话说 你这个洞子可以update那个表干嘛不给直接自己提权呢

  3. 2014-02-22 14:08 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    @xsser - - 并不是wiki_user啊。

  4. 2014-02-22 14:09 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @′ 雨。 仔细看

  5. 2014-02-22 14:23 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    @xsser 后他验证的user表中的group_id字段,跟session表没太大关系。

  6. 2014-02-22 14:24 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)

    关注下

  7. 2014-02-22 17:08 | lucky ( 普通白帽子 | Rank:409 漏洞数:84 | 三人行必有我师焉########################...)

    看看

  8. 2014-02-23 18:10 | L.N. ( 路人 | Rank:29 漏洞数:6 | 不断进步····)

    小伙 劲头足啊 天天挖!!

  9. 2014-02-23 21:06 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    @L.N. 放假挖挖。

  10. 2014-02-24 15:33 | Bloodwolf ( 实习白帽子 | Rank:47 漏洞数:8 | whoami)

    xxx

  11. 2014-02-25 19:10 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    2rank 你在开玩笑吗? @互动在线(北京)科技有限公司

  12. 2014-02-25 19:21 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    @′ 雨。 我当时跟你说的话错了,以后还是首选360。

  13. 2014-02-25 20:59 | Bloodwolf ( 实习白帽子 | Rank:47 漏洞数:8 | whoami)

    这种厂家的漏洞拿到以后直接丢exp出来。看他们重视不重视。丢这里他们无聊来的。

  14. 2014-02-25 21:02 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @′ 雨。 乌云奖金不会根据厂商反馈少的 也请补充完结果吧

  15. 2014-02-25 21:07 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @phith0n 什么漏洞没过反而扣了20?

  16. 2014-02-25 21:08 | My5t3ry ( 实习白帽子 | Rank:31 漏洞数:13 )

    好亮的2rank

  17. 2014-02-25 23:52 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    @xsser 新交一个emlog的没过(说影响不大),审核的人可能是觉得我交的一个以前的emlog的那给20太多了,给我扣了20。反正莫名其妙少了20,没有任何通知。

  18. 2014-02-26 00:00 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    @′ 雨。 @Bloodwolf 不过厂商给2可能因为360那边有人提交过了,大概是这个http://loudong.360.cn/vul/info/id/2267,360那边是这么跟我说的。

  19. 2014-02-26 04:15 | lostwolf ( 路人 | Rank:2 漏洞数:2 | 学习中...)

    很像 ... http://hi.baidu.com/h4ckey/item/8bc0c30dbceb6ec2905718af

  20. 2014-02-26 08:25 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    @phith0n 看不到这个360上的 我就在乌云上看的 这厂商好像没这洞 我就发上来了 师傅 爱你 哈哈、。

  21. 2014-02-26 09:32 | Bloodwolf ( 实习白帽子 | Rank:47 漏洞数:8 | whoami)

    @phith0n 反正从12年初就不提交漏洞了。伤心了。每天就来看看。

  22. 2014-05-24 07:34 | 好基友一辈子 ( 普通白帽子 | Rank:138 漏洞数:37 )

    @′ 雨。 貌似少了一个0。。。哈哈