Fengcms SQL注入漏洞 | wooyun-2014-070532| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-070532

漏洞标题：Fengcms SQL注入漏洞

漏洞作者： story

提交时间：2014-08-01 11:39

修复时间：2014-10-27 11:40

公开时间：2014-10-27 11:40

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-08-01：细节已通知厂商并且等待厂商处理中
2014-08-06：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
2014-09-30：细节向核心白帽子及相关领域专家公开
2014-10-10：细节向普通白帽子公开
2014-10-20：细节向实习白帽子公开
2014-10-27：细节向公众公开

简要描述：

官方给的测试站似乎被getshell了，吓坏了呀~不是我干的~

详细说明：

app/controller/messageController.php

class messageController extends Controller{
	private $model		=	"message";
	public function index(){
		return $this->display("message.html");//,M($this->model)->page());
	}
	public function add(){
		return $this->display("message_add.html");//,M($this->model)->page());
	}
	public function save(){
		echo json_encode(M($this->model)->save(lib_replace_end_tag_array($_POST)));
	}
}

save方法，将$_POST过滤以后传入save变量。看到这个过滤函数lib_replace_end_tag_array：

function lib_replace_end_tag_array($array){
		if(!is_array($array)) return false;
		foreach($array as $k => $v){
			$arr[$k]= lib_replace_end_tag($v);
		}
		return $arr;
	}

可见只过滤了value没有过滤key。我们再看save函数：

public function save($array){
		if($_SESSION['authnum']!=$array['vcode']||$_SESSION['authnum']==""){ return array('status' => 'c');}
		unset($array['vcode']);
		$re=D($this->d_name)->insert($array);
		if($re){
			$_SESSION['authnum']="";
			return array('status' => 'y','id' => $re);
		}else{
			return array('status' => 'n','id' => $re);
		}
	}

将$_POST传入insert函数，跟进：

public function insert($row){ 
        if (!is_array($row)) { 
            return false; 
        } 
        foreach ($row as $key => $value) { 
            $cols[] = $key; 
            $vals[] = $this->db->escape($value); 
        } 
        $col = join('`,`', $cols); 
        $val = join(',', $vals);
		$this->db->query('insert into `'.$this->name.'` (`'.$col.'`) values ('.$val.')');
		return $this->lastinsertid();		
    }

没有过滤。所以造成了注入。

漏洞证明：

增加一条留言：

查看即可看到注入获得的数据：

修复方案：

不要将POST直接插入数据库

版权声明：转载请注明来源 story@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-10-27 11:40

厂商回复：

漏洞评价：

2014-08-12 15:45 | story ( 实习白帽子 | Rank:59 漏洞数:20 | 看到的感受到的永远都不会消失永远都不会忘...)

@疯狗求帮加。。。厂商还是挺负责的呀~
2014-08-19 14:11 | FengCMS(乌云厂商)

最新版已经修复了该漏洞，但是由于未能确认感到非常抱歉。我会在近期给两位白帽子送去礼物，再一次感谢，希望大家持续关注FengCMS！

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-070532

漏洞标题：Fengcms SQL注入漏洞

相关厂商：fengcms.com

漏洞作者： story

提交时间：2014-08-01 11:39

修复时间：2014-10-27 11:40

公开时间：2014-10-27 11:40

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 story@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-070532

漏洞标题：Fengcms SQL注入漏洞

相关厂商：fengcms.com

漏洞作者： story

提交时间：2014-08-01 11:39

修复时间：2014-10-27 11:40

公开时间：2014-10-27 11:40

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-070532"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 story@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：