### 简要描述:
XDCMS订餐系统SQL注入+报路径+任意物品0元够(官方demo演示)
### 详细说明:
XDCMS订餐系统SQL注入#2(官方demo演示)
此SQL注入在提交订单时,进行查询订单中物品价格时导致注入。
此SQL注入不仅仅:
1、SQL注入
2、还会爆出系统绝对路径
3、最重要的是由于sql注入,导致查询价格失败,但是订单提交仍能成功,导致0元购买任意物品。
第一步选择物品:
[<img src="https://images.seebug.org/upload/201311/301318138ed8ac4d44d2644b1145e0f703442b28.png" alt="cart1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/301318138ed8ac4d44d2644b1145e0f703442b28.png)
第二步提交订单:
[<img src="https://images.seebug.org/upload/201311/301318285f3fadb98b23776b25dbf67ec57b0a2f.png" alt="cart2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/301318285f3fadb98b23776b25dbf67ec57b0a2f.png)
第三步抓包,修改数据:
[<img src="https://images.seebug.org/upload/201311/301319099ee95b627c8e5265c3601489e4ed3b44.png" alt="cart3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/301319099ee95b627c8e5265c3601489e4ed3b44.png)
cartid为购买的每个物品的id号,这里实在进行查询物品的属性,如价格等。
这里的cartid没有过滤导致SQL注入。
还爆出了系统绝对路径。
[<img src="https://images.seebug.org/upload/201311/30131955fda3624baa9446464f37a9c8477da3f6.png" alt="cart4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/30131955fda3624baa9446464f37a9c8477da3f6.png)
由于这里查询物品的属性失败,但是订单扔能提交成功,所以这里的订单的金额就是0元了。
[<img src="https://images.seebug.org/upload/201311/301321105f72bfa4a31a3494d809175e16050806.png" alt="cart5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/301321105f72bfa4a31a3494d809175e16050806.png)
成功提交订单,而且是0元购买了物品。
### 漏洞证明:
由于官方演示最新版装了安全狗,exp无法执行成功。
在免费版中根据c_cart表的结构,构造如下exp,演示exp成功,如下:
在cartid=2289处插入SQL语句:
```
' union select 1,2,3,4,5,6,7,8,9 from (select count(*),concat(floor(rand(0)*2),(select concat(username,0x23,password) from c_admin limit 0,1))a from information_schema.tables group by a)b#
```
即可获得用户名密码:
```
1admin#c3284d0f94606de1fd2af172aba15bf3
```
京公网安备 11010502034610号
暂无评论