当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-060113

漏洞标题:PHPMYWIND V5.0 Sql Injection 两处。

相关厂商:phpmywind.com

漏洞作者: ′雨。

提交时间:2014-05-09 22:56

修复时间:2014-08-07 22:58

公开时间:2014-08-07 22:58

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-09: 细节已通知厂商并且等待厂商处理中
2014-05-10: 厂商已经确认,细节仅向厂商公开
2014-05-13: 细节向第三方安全合作伙伴开放
2014-07-04: 细节向核心白帽子及相关领域专家公开
2014-07-14: 细节向普通白帽子公开
2014-07-24: 细节向实习白帽子公开
2014-08-07: 细节向公众公开

简要描述:

看到更新了 我再来看看。
一个文件中。

详细说明:

在member.php中

else if($a == 'savefavorite')
{
	$aid   = isset($aid)   ? intval($aid)   : '';
	$molds = isset($molds) ? intval($molds) : '';
	$link  = isset($_SERVER['HTTP_REFERER']) ? htmlspecialchars($_SERVER['HTTP_REFERER']) : '';
	
	if($aid == '' or $molds == '' or $link == '')
	{
		header('location:?c=default');
		exit();
	}
	$r = $dosql->GetOne("SELECT `id`,`expval`,`integral` FROM `#@__member` WHERE `username`='$c_uname'");
	$uid   = $r['id'];
	$uname = $c_uname;
	$time  = time();
	$ip    = GetIP();
	$r2 = $dosql->GetOne("SELECT `aid`,`molds` FROM `#@__userfavorite` WHERE `aid`=$aid and `molds`=$molds");
	if(!is_array($r2))
	{
		$dosql->ExecNoneQuery("INSERT INTO `#@__userfavorite` (aid,molds,uid,uname,link,time,ip,isshow) VALUES ('$aid','$molds','$uid','$uname','$link','$time','$ip','1')");


在这里$link是referer 这里跟之前版本的不同的就是 这里的referer 经过了htmlspecialchars的处理。
但是在这里htmlspecialchars的quotestyle是没有设置的, 就是为默认的。
默认的为ENT_COMPAT。 这个是只会对双引号编码, 而不会对单引号编码。
所以可以继续来注入了。
第二处在也member.php中
在保存评论的时候 跟这个的原理一样 就不多说了。

//保存评论
else if($a == 'savecomment')
{
	//是否开去文章评论功能
	if($cfg_comment == 'N') exit();
	//初始化参数
	$aid   = isset($aid)   ? intval($aid)   : '';
	$molds = isset($molds) ? intval($molds) : '';
	$body  = isset($body)  ? htmlspecialchars($body) : '';
	$link  = isset($_SERVER['HTTP_REFERER']) ? htmlspecialchars($_SERVER['HTTP_REFERER']) : '';

漏洞证明:

p1.jpg

修复方案:

过滤。

版权声明:转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2014-05-10 09:00

厂商回复:

感谢提交,我们会尽快修复。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-05-10 00:28 | roker ( 普通白帽子 | Rank:357 漏洞数:108 )

    又不带我。

  2. 2014-10-14 17:22 | linadmin ( 实习白帽子 | Rank:50 漏洞数:30 | 低调进取,低调为人)

    可否请教下phpmywind的那个SQL语句过滤程序CheckSql怎么绕过。。发现了一小波漏洞,可是都被CheckSql给禁掉了。。

  3. 2014-10-14 17:29 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    @linadmin 80sec ids绕过 百度有

  4. 2014-10-14 17:54 | linadmin ( 实习白帽子 | Rank:50 漏洞数:30 | 低调进取,低调为人)

    @′ 雨。 多谢啦