qibocms地方门户系统注入(多处类似,demo测试)

基本字段

漏洞编号:
SSV-94191
披露/发现时间:
2014-10-29
提交时间:
2014-10-29
漏洞等级:
漏洞类别:
其他类型
影响组件:
QiboCMS
漏洞作者:
′雨。
提交者:
Knownsec
CVE-ID:
补充
CNNVD-ID:
补充
CNVD-ID:
补充
ZoomEye Dork:
补充

来源

漏洞详情

贡献者 Knownsec 共获得  0KB

简要描述:

初始化啊 初始化。

详细说明:

很多类似的 随便找个地方把。 首先注册个会员。 在dianping/post.php中

if($action=="postnew")
{  
    if($webdb[ForbidPostMore]){
        if($db->get_one("SELECT * FROM {$_pre}content WHERE uid='$lfjuid' LIMIT 1")){
            showerr("系统设置每人只能发布一个商铺!");
        }
    }
    if(!check_rand_num($_POST["$webdb[rand_num_inputname]"])){
        showerr("系统随机码失效,请返回,刷新一下页面,再重新输入数据,重新提交!");
    }
    if(!$postdb[city_id]){
        showerr("请选择城市");
    }
    /*验证码处理*/
    if($webdb[Info_GroupPostYzImg]&&in_array($groupdb['gid'],explode(",",$webdb[Info_GroupPostYzImg]))){    
        if(!$web_admin&&!check_imgnum($yzimg)){        
            showerr("验证码不符合,发布失败");
        }
    }
    $postdb['list']=$timestamp;
    if($iftop){        //推荐置顶
        @extract($db->get_one("SELECT COUNT(*) AS NUM FROM `{$_pre}content$_erp` WHERE list>'$timestamp' AND fid='$fid' AND city_id='$postdb[city_id]'"));

让哥来发布个点评。 @extract($db->get_one("SELECT COUNT(*) AS NUM FROM {$_pre}content$_erp WHERE list>'$timestamp' AND fid='$fid' AND city_id='$postdb[city_id]'")) 来看看这个语句。 {$_pre}content$_erp 来看看这个文件中的$_erp哪里来的

5.jpg

可以看到 我们的这个语句位于 173行。 而对$_erp 赋值是在187行。 那么相当于我们173行的这个$_erp就没有初始化了。 结合qibocms 伪全局机制 那么我们就可以控制173行的这个$_erp 来达到注入的效果。 dianping/post.php?action=postnew&fid=11&postdb[address]=xx&postdb[city_id]=x&_erp=aaa&iftop=1&yzimg=a1df

6.jpg

构造一下

7.jpg

成功出数据。


测试demo。

8.jpg

嗯。

漏洞证明:

7.jpg

共 0  兑换了

PoC

暂无 PoC

参考链接

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

人气 660
评论前需绑定手机 现在绑定

暂无评论

※本站提供的任何内容、代码与服务仅供学习,请勿用于非法用途,否则后果自负