chshcms 程氏CMS V3.0 注射（已在官方演示站测试）

### 简要描述： chshcms 程氏CMS V3.0 注射（已在官方演示站测试） 图片中演示站为http://www.dj221.com ### 详细说明： /user/do.php ``` function TOPIC(){ if(isset($_COOKIE["cs_name"])){ $cscms_name=$_COOKIE["cs_name"]; }else{ exit(Msg_Error('你还没有登入或者登入已经超时!','login.php')); } $op=CS_Request("op"); //使用安全的CS_request addslash ...省略无关代码若干 }elseif($op=='zjadd'){ $tid=CS_Request("tid"); //使用安全的CS_request addslash $id=trim($_GET["id"]); //呵呵呵，曲项向天歌，CS_Request哭了 //下面直接就进查询语句了 if($db->query("update ".Getdbname('dance')." set CS_TID=".$tid." where cs_user='".$cscms_name."' and CS_ID in (".$id.")")){ exit(Msg_Error('恭喜您，加入成功了!','javascript:history.go(-1);')); }else ………省略以下无关代码……… } } ``` 建议全面审查代码，严格按照安全结构开发代码 下面用官方演示站点进行证明 ### 漏洞证明： 由于注射点在个人中心里，因此需要注册一下 [<img src="https://images.seebug.org/upload/201310/19183919629cd0bc38d3ba2819752cccda6cc681.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/19183919629cd0bc38d3ba2819752cccda6cc681.jpg) ``` http://www.dj221.com/user/space.php?ac=topic&op=zjadd&tid=3118&id=2 ``` 请注意我创建了一个专辑，因为注射点在专辑那里，id=2请自行修改为自己的值 在Havij里设置cookie（必须） [<img src="https://images.seebug.org/upload/201310/19184140d0ab234f97da0da642194c75c56f3e08.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/19184140d0ab234f97da0da642194c75c56f3e08.jpg) 注射开始吧 [<img src="https://images.seebug.org/upload/201310/191842528f68ee63929c378a3bec82cf035cf9b0.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/191842528f68ee63929c378a3bec82cf035cf9b0.jpg)