### 简要描述:
上个漏洞出事的是一个通用函数,所以造成了多个注入。
然后这次厂商直接应该是直接修改了这函数的代码(我没看啊.猜测)。
这次没看代码, 直接fuzz 绕过。
应该来说 只要仔细找 肯定是不止这两处的,
我只大概看了看 找到了这两处。
### 详细说明:
这次没看代码啊, 就没分析代码的了。
[WooYun: CSDJCMS 程式舞曲 最新 Sql 一枚。 (无需登录,测试官网成功)](http://www.wooyun.org/bugs/wooyun-2014-060122)
上个漏洞的地址
http://demo.chshcms.com/index.php/open/bang
openid=x&username='&denglu=login&userpass=aaa
这样再去测试一下厂商 发现已经不报错了。 应该是过滤了单引号,
测试一下转义符
Error Number: 1064
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\' or cs_email='\'' at line 1
SELECT CS_Pass,CS_SID,CS_ID,CS_Name,CS_LogNum,CS_Cion,CS_LogTime FROM cscms_user where cs_id='\' or cs_name='\' or cs_email='\'
这里有3个可控的, 但是这三个可控的都是一个变量的。
构造构造。
_____________________________________________________________________
第二处
在user/login/add处。
见漏洞证明。
### 漏洞证明:
[<img src="https://images.seebug.org/upload/201405/10173815dc89342c3618db5898b93efaf4bf5ced.jpg" alt="7IEFYVWP4YLB)9@P$VS6A)4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/10173815dc89342c3618db5898b93efaf4bf5ced.jpg)
再次成功绕过。
第二处漏洞。
[<img src="https://images.seebug.org/upload/201405/1017405561d0b1477f222f38c1fcadd451e2e371.jpg" alt="cs5.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1017405561d0b1477f222f38c1fcadd451e2e371.jpg)
京公网安备 11010502034610号
暂无评论