当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-051687

漏洞标题:PHPMYWIND sql 一枚 无视GPC

相关厂商:phpmywind.com

漏洞作者: ′雨。

提交时间:2014-02-22 18:20

修复时间:2014-05-23 18:21

公开时间:2014-05-23 18:21

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-02-22: 细节已通知厂商并且等待厂商处理中
2014-03-03: 厂商已经确认,细节仅向厂商公开
2014-03-06: 细节向第三方安全合作伙伴开放
2014-04-27: 细节向核心白帽子及相关领域专家公开
2014-05-07: 细节向普通白帽子公开
2014-05-17: 细节向实习白帽子公开
2014-05-23: 细节向公众公开

简要描述:

今天又去重新看了看phpmywind
在官网上下的 版本还是4.6.6
无需登录 无需单引号。

详细说明:

在order.php中

if(empty($_COOKIE['shoppingcart']))
{
header('location:shoppingcart.php');
exit();
}
//不允许游客下单跳转登陆
if(empty($_COOKIE['username']))
{
header('location:member.php?c=login');
exit();
}


让这两个不为空就好。

$action    = isset($action)    ? $action    : '';
$datagroup = isset($datagroup) ? $datagroup : '';
$level = isset($level) ? $level : '';
$v = isset($areaval) ? $areaval : '0';
//获取级联
if($action == 'getarea')
{
$str = '<option value="-1">--</option>';
$sql = "SELECT * FROM `#@__cascadedata` WHERE level=$level And ";
if($v == 0)
$sql .= "datagroup='$datagroup'";
else if($v % 500 == 0)
$sql .= "datagroup='$datagroup' AND datavalue>$v AND datavalue<".($v + 500);
else
$sql .= "datavalue LIKE '$v.%%%' AND datagroup='$datagroup'";

$sql .= " ORDER BY orderid ASC, datavalue ASC";
$dosql->Execute($sql);


什么$level v啊 都是可控的 但是会被转义。
观察这个语句。、
else if($v % 500 == 0)
$sql .= "datagroup='$datagroup' AND datavalue>$v AND datavalue<".($v + 500);
只要满足这个 可以发现 v是没有单引号的。 所以就可以持续注入了。
但是内置80sec的ids 就是dede那个
不过已经被绕过了。
@`'` 但是这个单引号会被转义。 我添加一个这个还是没绕过
然后再在结尾又添加了一个 然后绕过成功。
然后构造一下语句
注入成功。

漏洞证明:

_)(05V$`XNQ(AFX`S[T`YKX.jpg


注入成功 有图 有真相。

修复方案:

求20分.
求包养。
求过滤。

版权声明:转载请注明来源 ′雨。@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-03-03 13:40

厂商回复:

感谢提交漏洞

最新状态:

暂无


漏洞评价:

评论

  1. 2014-06-05 18:38 | j2ck3r ( 普通白帽子 | Rank:406 漏洞数:92 | 别关注我,跟你不熟。)

    洞主 你使用是什么工具 插件名字叫什么啊

  2. 2014-06-05 18:40 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    @j2ck3r hackbar

  3. 2014-06-05 18:49 | j2ck3r ( 普通白帽子 | Rank:406 漏洞数:92 | 别关注我,跟你不熟。)

    @′ 雨。 谢谢拉